Guía de operaciones de Microsoft Advanced Group Policy...

Guía de operaciones de Microsoft Advanced Group Policy Management 4.0

Microsoft Corporation

Fecha de publicación: septiembre de 2009

Resumen

Esta guía ofrece instrucciones paso a paso para realizar tareas con Microsoft Administración de

directivas de grupos (AGPM) 4.0. Incluye toda la información de la Ayuda de AGPM.

Copyright

La información contenida en este documento, incluidas las direcciones URL y otras referencias a

sitios Web de Internet, está sujeta a cambios sin previo aviso. A menos que se indique lo

contrario, las compañías, organizaciones, productos, nombres de dominio, direcciones de correo

electrónico, logotipos, personas, lugares y eventos utilizados en los ejemplos son ficticios. No se

pretende indicar ni debe deducirse ninguna asociación con compañías, organizaciones,

productos, nombres de dominio, direcciones de correo electrónico, logotipos, personas, lugares o

eventos reales. Es responsabilidad del usuario el cumplimiento de todas las leyes de derechos

de autor aplicables. Ninguna parte de este documento puede ser reproducida, almacenada o

introducida en un sistema de recuperación, o transmitida de ninguna forma, ni por ningún medio

(ya sea electrónico, mecánico, por fotocopia, grabación, etc.) con ningún propósito, sin la previa

autorización expresa por escrito de Microsoft Corporation, sin que ello suponga ninguna

limitación a los derechos de propiedad industrial o intelectual.

Microsoft puede ser titular de patentes, solicitudes de patentes, marcas, derechos de autor y

otros derechos de propiedad intelectual sobre los contenidos de este documento. La entrega de

este documento no le otorga ninguna licencia sobre dichas patentes, marcas, derechos de autor

u otros derechos de propiedad industrial o intelectual, a menos que así se prevea en el contrato

de licencia escrito de Microsoft.

© 2009 Microsoft Corporation. Todos los derechos reservados.

Microsoft, Windows y Windows Server son marcas registradas o marcas comerciales de

Microsoft Corporation en EE.UU. y en otros países.

Las demás marcas comerciales pertenecen a sus respectivos propietarios.

Contenido

Guía de operaciones de Microsoft Advanced Group Policy Management 4.0 ............................... 5 Introducción de Advanced Group Policy Management .............................................................. 6

Prácticas recomendadas para el control de versiones .............................................................. 7

Lista de comprobación: administración del servidor AGPM y el archivo .................................... 8

Lista de comprobación: Creación, edición e implementación de GPO ....................................... 9

Búsqueda y filtrado de la lista de GPO ................................................................................... 10

Realización de tareas del administrador de AGPM ................................................................. 12

Configuración de Advanced Group Policy Management ...................................................... 13

Configuración de las conexiones con el servidor de AGPM .............................................. 14 Configuración de notificación por correo electrónico ........................................................ 16

Configuración de seguridad de correo electrónico para AGPM......................................... 17

Delegación de acceso al entorno de producción .............................................................. 19

Configuración de registro y seguimiento .......................................................................... 21

Administración del archivo .................................................................................................. 22

Delegación de acceso de nivel de dominio al archivo ....................................................... 22

Delegación de acceso a GPO individuales en el archivo .................................................. 23

Limitación de versiones de GPO almacenadas ................................................................ 25

Importación de GPO desde un archivo............................................................................. 26 Creación de una copia de seguridad del archivo .............................................................. 27

Restauración del archivo a partir de una copia de seguridad ............................................ 28

Administración del servicio AGPM....................................................................................... 29

Inicio o detención del servicio AGPM ............................................................................... 29

Modificación del servicio AGPM ....................................................................................... 30

Movimiento del servidor de AGPM y del archivo .................................................................. 32

Realización de tareas del editor ............................................................................................. 33

Creación, control o importación de GPO ............................................................................. 34

Solicitud de control de GPO sin control ............................................................................ 34 Solicitud de creación de nuevos GPO controlados ........................................................... 35

Importación de GPO de producción ................................................................................. 36

Edición de GPO .................................................................................................................. 37

Edición de GPO sin conexión .......................................................................................... 37

Etiquetado de la versión actual de GPO........................................................................... 39

Cambio de nombre de GPO o plantillas ........................................................................... 40

Uso de un entorno de prueba .............................................................................................. 41

Exportación de un GPO a un archivo ............................................................................... 41

Importación de GPO desde un archivo............................................................................. 42 Prueba de un GPO en una unidad organizativa independiente......................................... 43

Solicitud de implementación de GPO .................................................................................. 43

Creación de plantillas y establecimiento como predeterminadas ......................................... 44

Creación de plantillas ...................................................................................................... 45 Establecimiento de plantillas predeterminadas ................................................................. 46

Eliminación o restauración de GPO..................................................................................... 47

Solicitud de eliminación de GPO ...................................................................................... 47

Solicitud de restauración de GPO eliminados .................................................................. 48

Realización de tareas del aprobador ...................................................................................... 49

Aprobación o rechazo de acciones pendientes.................................................................... 50

Creación o control de GPO ................................................................................................. 51

Control de GPO sin control .............................................................................................. 51

Creación de nuevos GPO controlados ............................................................................. 52 Delegación de la administración de GPO controlados ...................................................... 53

Importación de GPO de producción ................................................................................. 54

Protección de GPO ............................................................................................................. 54

Implementación de GPO ..................................................................................................... 55

Reversión a una versión anterior de GPO ........................................................................... 56

Eliminación, restauración o destrucción de GPO ................................................................. 57

Eliminación de GPO controlados ..................................................................................... 57

Restauración de GPO eliminados .................................................................................... 58

Destrucción de GPO ........................................................................................................ 59 Realización de tareas del revisor ............................................................................................ 60

Configuración de una conexión con el servidor de AGPM ................................................... 60

Revisión de la configuración de GPO .................................................................................. 61

Revisión de enlaces de GPO .............................................................................................. 61

Identificación de diferencias entre GPO, versiones de GPO o plantillas ............................... 62

Solución de problemas de AGPM ........................................................................................... 65

Interfaz de usuario: Advanced Group Policy Management ...................................................... 68

Ficha Contenido.................................................................................................................. 68

Configuración de la ficha Contenido................................................................................. 69 Ventana Historial ............................................................................................................. 71

Comandos de GPO controlados ...................................................................................... 73

Comandos de GPO sin control ........................................................................................ 77

Comandos de GPO pendientes ....................................................................................... 78

Comandos de plantillas ................................................................................................... 80

Comandos de la papelera de reciclaje ............................................................................. 82

Ficha Delegación de dominio .............................................................................................. 83

Ficha Servidor AGPM ......................................................................................................... 85

Ficha Delegación de producción ......................................................................................... 86 Carpeta Plantillas administrativas ....................................................................................... 86

Configuración de registro y seguimiento .......................................................................... 87

Configuración de conexión con el servidor de AGPM ....................................................... 87

Configuración de la visibilidad de características ............................................................. 88

5


Puede usar Microsoft Administración de directivas de grupos (AGPM) para ampliar las

capacidades de Consola de administración de directivas de grupo (GPMC). AGPM permite un

control completo de los cambios y una administración mejorada de los Objetos de directiva de

grupo (GPO).

Mediante AGPM, puede llevar a cabo estas tareas:

Realizar la edición de GPO sin conexión, de forma que pueda crearlos y probarlos antes de

implementarlos en un entorno de producción.

Mantener varias versiones de un GPO en un archivo central, de forma que pueda revertir los

cambios si se produce algún problema.

Compartir la responsabilidad de la edición, aprobación y revisión de los GPO entre varios

mediante una delegación basada en funciones.

Eliminar el riesgo de que varios administradores de directiva de grupo puedan sobrescribir el

trabajo del resto, gracias a la capacidad de protección y desprotección de GPO.

Analizar cambios en un GPO, comparándolos con otros GPO u otras versiones del mismo

GPO a través de los informes de diferencias.

Simplificar la creación de nuevos GPO mediante plantillas de GPO, que permiten almacenar

la configuración de directiva común y la configuración de preferencias para usarlas como

punto de partida para nuevos GPO.

Delegación de acceso al entorno de producción.

Busque GPO con atributos concretos y filtre la lista de GPO que se muestra.

Exporte un FPO a un archivo de modo que pueda copiarlo de un dominio de un bosque de

prueba en un dominio de un bosque de producción.

AGPM agrega una carpeta Control de cambios para cada dominio que aparece en GPMC, así

como una ficha Historial para cada GPO y vínculo de directiva de grupo que aparezcan en

GPMC.

Introducción de Advanced Group Policy Management

Prácticas recomendadas para el control de versiones

Lista de comprobación: administración del servidor AGPM y el archivo

Lista de comprobación: Creación, edición e implementación de GPO

Búsqueda y filtrado de la lista de GPO

Realización de tareas del administrador de AGPM

Realización de tareas del editor

Realización de tareas del aprobador

6

Realización de tareas del revisor

Solución de problemas de AGPM

Interfaz de usuario: Advanced Group Policy Management

Introducción de Advanced Group Policy Management Puede usar Administración de directivas de grupos (AGPM) para ampliar las capacidades de la

Consola de administración de directivas de grupo (GPMC) permitiendo un control de cambios

exhaustivo y mejorando la administración de Objetos de directiva de grupo (GPO).

Desarrollo de objetos de directiva de grupo con control de cambios

Con AGPM, puede almacenar una copia de cada GPO en un archivo central, de forma que los

administradores de directiva de grupo puedan verlo y cambiarlo sin conexión sin afectar de

inmediato a la versión implementada de cada GPO. Asimismo, AGPM almacena una copia de

cada versión de cada GPO controlado en el archivo, de modo que pueda revertir a una versión

anterior, en el caso de que fuera necesario.

Los términos "proteger" y "desproteger" se utilizan de la misma manera que en una biblioteca (o

en las aplicaciones que proporcionan control de cambios, control de versiones o control de

código fuente para el desarrollo de la programación). Para utilizar un libro de la biblioteca,

sáquelo de la biblioteca. Nadie podrá utilizarlo mientras lo haya sacado. Cuando haya terminado

el libro, devuélvalo a la biblioteca para que otros puedan utilizarlo.

Al desarrollar GPO mediante AGPM:

1. Cree un nuevo GPO controlado o controle un GPO anteriormente sin control.

2. Desproteja el GPO, para que usted y sólo usted pueda cambiarlo.

3. Edite el GPO.

4. Proteja el GPO editado para que otros puedan cambiarlo o para que se pueda implementar.

5. Revise los cambios.

6. Implemente el GPO en el entorno de producción.

Delegación basada en funciones

AGPM permite una delegación completa, basada en funciones y de fácil utilización para

administrar el acceso a los GPOs del archivo. Los permisos de nivel de dominio permiten que los

Administradores de AGPM proporcionen acceso a dominios individuales sin permitir el acceso a

otros dominios. La delegación basada en GPO permite que los Administradores de AGPM

proporcionen acceso a GPO concretos sin proporcionar acceso en todo el dominio.

Dentro de AGPM, existen funciones definidas específicamente: Administrador AGPM (Control

total), Aprobador, Editor y Revisor. En la función Administrador de AGPM se incluyen los

7

permisos de las demás funciones. De forma predeterminada, sólo los aprobadores tienen la

capacidad de implementar GPO en el entorno de producción de un dominio, protegiendo el

entorno de errores involuntarios por parte de editores con menos experiencia. Asimismo, de

forma predeterminada, todas las funciones incluyen la función Revisor y, por lo tanto, la

capacidad de ver la configuración de GPO en los informes. Sin embargo, AGPM proporciona un

Administrador de AGPM con la flexibilidad para personalizar el acceso a GPO para ajustarse a

las necesidades de la organización.

Delegación en entornos de varios administradores de directiva de grupo

En un entorno en el que varias personas realizan cambios en los GPO, un Administrador de

AGPM delega el permiso en los editores, aprobadores y revisores, como grupos o individuos.

Para un proceso de desarrollo de GPO habitual para un Editor y un Aprobador, consulte Lista de

comprobación: Creación, edición e implementación de GPO.

Referencias adicionales


Prácticas recomendadas para el control de versiones Microsoft Administración de directivas de grupos (AGPM) permite el control de versiones de

Objetos de directiva de grupo (GPO) de forma parecida al modo en que Microsoft Visual

SourceSafe® permite el control de versiones del código fuente. Los desarrolladores pueden usar

Visual SourceSafe para administrar varias versiones de cada archivo de código fuente. Los

administradores de directivas de grupo pueden usar AGPM para hacer lo mismo con los GPO.

Cuando se usa AGPM, los administradores de directiva de grupo deben conocer las

recomendaciones aplicables al sistema de control de versiones:

Fecha y hora: AGPM marca cada versión de un GPO con la fecha y la hora. Para

asegurarse de que el historial es preciso, en especial cuando modifique los GPO en más de

un equipo, asegúrese de que cada equipo sincroniza su reloj con un origen de tiempo

autorizado.

Proteja los GPO cuando haya terminado de modificarlos: Es habitual que los editores

desprotejan los GPO y se olviden de volver a protegerlos en el archivo. Sin embargo, esto

puede impedir que otros administradores de directiva de grupo cambien el GPO. Vuelva a

proteger los GPO siempre inmediatamente cuando haya terminado de modificarlos.

Guarde los cambios con frecuencia: Al modificar un GPO, guarde los cambios

frecuentemente. La mayor parte de los editores desprotegen un GPO, realizan cambios y

luego lo protegen en el archivo. En cambio, proteja el GPO en el archivo con regularidad y

después vuelva a desprotegerlo. El detalle puede ser tan pequeño como proteger el GPO

después de cambiar cada opción (no se recomienda) o después de hacer varios cambios

8

relacionados. El resultado es un historial mejor documentado para cada GPO que ayude en

la solución de problemas.

Implemente los GPO con frecuencia: No permita que los GPO nuevos y los modificados

que aún no hayan sido implementados se acumulen en grandes cantidades en el archivo. En

cambio, implemente los GPO nuevos y modificados en cuanto sea posible para que tengan

un efecto mínimo en el entorno de producción. Al implementar muchos GPO nuevos y

modificados a la vez se puede poner en peligro el entorno de producción.

Documente la finalidad de los cambios al proteger los GPO: Un revisor puede comparar

las versiones de un GPO para ver los cambios específicos entre las dos. Documentar estos

cambios concretos no aporta ningún valor. En cambio, documente la intención y finalidad de

un cambio en lugar de lo que pueden ver los revisores si examinan informes diferentes. Los

comentarios de la versión pueden aportar un valor al informe de comparación y ayudar a los

revisores a entender el motivo por el que el editor cambió el GPO.

Pruebe los GPO en un entorno de prueba: La implementación de GPO en el entorno de

producción sin probarlos es arriesgado. En cambio, pruebe los GPO en un dominio de un

bosque de prueba y luego expórtelos a archivos e impórtelos en un dominio de un bosque de

producción. Además, puede vincular los GPO a una unidad organizativa que contenga

equipos y usuarios de prueba. Compruebe que cada GPO funciona correctamente en el

entorno de prueba y luego impleméntelos en el entorno de producción.



Lista de comprobación: administración del servidor AGPM y el archivo En Administración de directivas de grupos (AGPM), los Administradores AGPM (Control total)

administran tanto el servicio AGPM como el archivo. Las siguientes son las tareas habituales de

un Administrador de AGPM.

Tarea frecuente Referencia

Delegación de acceso a Objetos de directiva

de grupo (GPO) en el archivo.

Delegación de acceso de nivel de dominio al

archivo

Delegación de acceso a GPO individuales en el

archivo

Copia de seguridad del archivo para permitir la

recuperación ante desastres.

Creación de una copia de seguridad del

archivo

9

Tarea inusual Referencia

Restauración del archivo a partir de una copia

de seguridad para recuperarse de un desastre.

Restauración del archivo a partir de una copia

de seguridad

Movimiento del servicio AGPM, el archivo o

ambos a otro servidor.

Movimiento del servidor de AGPM y del archivo

Cambio de la ruta de acceso al archivo, la

cuenta de servicio AGPM o el puerto en el que

el servicio AGPM escucha.

Modificación del servicio AGPM

Solución de problemas comunes del servidor

AGPM.

Solución de problemas de AGPM

Configuración de registro y seguimiento



Lista de comprobación: Creación, edición e implementación de GPO En un entorno en el que varias personas realizan cambios en los Objetos de directiva de grupo

(GPO) mediante Administración de directivas de grupos (AGPM), un Administrador AGPM

(Control total) delega el permiso en los editores, aprobadores y revisores, como grupos o

individuos. A continuación se muestra el proceso de desarrollo de GPO típico del editor y del

aprobador.

Tarea Referencia

El editor solicita la creación de un nuevo GPO

o el aprobador crea un nuevo GPO.

Solicitud de creación de nuevos GPO

controlados

Creación de nuevos GPO controlados

El aprobador aprueba la creación del GPO si

así se lo solicita el editor.

Aprobación o rechazo de acciones pendientes

El editor desprotege una copia del GPO del

archivo, así que nadie más puede modificarlo.

El editor realiza cambios y, a continuación,

protege el GPO modificado en el archivo.

Edición de GPO sin conexión

Si se desarrolla en un bosque de prueba, el

editor exporta el GPO a un archivo, transfiere

este al bosque de producción e importa el

archivo. Además, un editor puede vincular el

Uso de un entorno de prueba

10

Tarea Referencia

GPO a una unidad organizativa que contenga

equipos y usuarios de prueba.

El editor solicita la implementación del GPO en

el entorno de producción del dominio.

Solicitud de implementación de GPO

Los revisores, como los aprobadores o los

editores, analizan el GPO.


El aprobador aprueba e implementa el GPO en

el entorno de producción del dominio o lo

rechaza.




Búsqueda y filtrado de la lista de GPO En Administración de directivas de grupos (AGPM), puede buscar en la lista de Objetos de

directiva de grupo (GPO) y sus atributos para filtrar la lista de GPO que se muestra. Por ejemplo,

puede buscar los GPO con un nombre, estado o comentario concreto. También puede buscar los

GPO que cambió un administrador de directiva de grupo en particular o en una fecha

determinada.

Realización de una búsqueda compleja

Puede realizar una búsqueda compleja usando el formato Atributo 1 de GPO: cadena de

búsqueda 1 atributo 2 de GPO: cadena de búsqueda 2…cadenas de búsqueda de todas las

columnas. La búsqueda no distingue mayúsculas y minúsculas.

Atributo de GPO: cualquier encabezado de columna de la lista de GPO de AGPM que no

sea Versión de equipo ni Versión de usuario. Entre los atributos de GPO se incluyen el

nombre de GPO, el estado, el usuario que cambió por última vez el GPO, la fecha y la hora

en que se cambió por última vez el GPO, un comentario, el estado de GPO y el filtro de WMI

aplicado al GPO.

Cadena de búsqueda: texto que buscar en la columna especificada. Si una cadena

contiene espacios, debe incluirla entre comillas.

Cadenas de búsqueda de todas las columnas: texto que buscar en todas las columnas de

la lista de GPO de AGPM que no sea Versión de equipo ni Versión de usuario. Puede

incluir varias cadenas separadas por espacios. Si una cadena contiene espacios, debe

incluirla entre comillas.

Cada par de atributo de GPO y cadena de búsqueda, y cada cadena de búsqueda de todas las

columnas se combinan con una operación lógica AND. El resultado es una lista de todos los

11

GPO para los que cada atributo especificado incluya la cadena de búsqueda especificada y para

los que las cadenas de búsqueda de todas las columnas aparezcan al menos en una columna.

La búsqueda devuelve las coincidencias parciales de las cadenas de modo que se puede escribir

parte del nombre de un GPO o de un usuario, y ver una lista de todos los GPO que incluyen ese

texto en su nombre.

Los siguientes son ejemplos de búsqueda:

Descripción del resultado de la búsqueda Consulta de búsqueda

Todos los GPO cuyo nombre incluya el texto

seguridad y Norte América.

nombre: seguridad nombre: "Norte América"

Todos los GPO desprotegidos. estado: "desprotegido"

Todos los GPO que el usuario denominado

Administrador ha cambiado recientemente o

que han cambiado el mes anterior.

cambiado por: Administrador fecha de

cambio: lastmonth

Todos los GPO en los que se incluye la

palabra firewall en el comentario más reciente

y en los que la palabra seguridad aparece en

alguna columna.

comentario: firewall seguridad

Todos los GPO que tienen el estado Todos

los valores de configuración

deshabilitados.

estado de gpo: todos

Todos los GPO que tienen aplicado un filtro

WMI denominado Mi filtro WMI y el estado

Configuración de usuario deshabilitada.

filtro wmi: "Mi filtro WMI" estado de

gpo: usuario

Especificación de fechas

Puede buscar los GPO que han cambiado en una fecha concreta, una hora específica o durante

un intervalo de tiempo utilizando los mismos términos especiales disponibles cuando se realiza

una búsqueda en Windows. Si se especifica una fecha u hora concretas, se debe usar el formato

que se utiliza en la columna Fecha de cambio. A continuación se muestran algunos ejemplos de

búsquedas de la columna Fecha de cambio:

fecha de cambio: 10/10/2009

fecha de cambio: 10/10/2009 9:00:00 a.m.

fecha de cambio: thisweek

Puede usar los siguientes términos especiales, que no distinguen mayúsculas y minúsculas, al

buscar en la columna Fecha de cambio:

Today

12

Yesterday

ThisWeek

LastWeek

ThisMonth

LastMonth

TwoMonths

ThreeMonths

ThisYear

LastYear

Consideraciones adicionales

De forma predeterminada, debe ser revisor, editor, aprobador o un Administrador AGPM

(Control total) para poder llevar a cabo este procedimiento. Más concretamente, debe tener

el permiso Mostrar contenido en lo que respecta al dominio.

Para obtener más información acerca de los atributos de GPO, vea Configuración de la ficha

Contenido.



Realización de tareas del administrador de AGPM Administración de directivas de grupos (AGPM) permite que un Administrador AGPM (Control

total) configure las opciones de todo el dominio y delegue los permisos a los aprobadores,

editores, revisores y Administradores de AGPM. De forma predeterminada, un Administrador de

AGPM es alguien con control total (todos los permisos de AGPM) y que, por lo tanto, también

puede realizar tareas asociadas a cualquier función.

En un entorno en el que varias personas desarrollan Objetos de directiva de grupo (GPO), puede

optar por permitir que todos los administradores de directiva de grupo realicen las mismas tareas

y tengan el mismo nivel de acceso. O bien, puede elegir permitir que los Administradores de

AGPM deleguen los permisos a los editores que cambian los GPO y a los aprobadores que los

implementan en el entorno de producción. Los Administradores de AGPM pueden configurar los

permisos para satisfacer las necesidades de una organización.

Configuración de Advanced Group Policy Management: Configure la conexión con el

servidor de AGPM y la notificación por correo electrónico, delegue el acceso a los GPO en el

entorno de producción y configure el registro y el seguimiento para solucionar problemas.

Administración del archivo: Delegue el acceso a los GPO en el archivo, limite el número de

versiones de cada GPO almacenado, importe un GPO desde otro dominio y realice la copia

de seguridad y la restauración del archivo.

13

Administración del servicio AGPM: Detenga e inicie el servicio AGPM o cambie la ruta de

acceso al archivo, la cuenta de servicio AGPM o el puerto en el que el servicio AGPM

escucha.

Movimiento del servidor de AGPM y del archivo: Mueva el servicio AGPM, el archivo o

ambos a otro servidor.

Como la función Administrador de AGPM incluye los permisos de las funciones

restantes, un Administrador de AGPM puede realizar las tareas que, por lo general, se

asocian a cualquier otra función.

Realización de tareas del aprobador, como la creación, implementación o eliminación de GPO

Realización de tareas del editor, como la edición, cambio de nombre, etiquetado o importación

de GPO, la creación de plantillas o el establecimiento de una plantilla predeterminada

Realización de tareas del revisor, como la revisión de la configuración y la comparación de GPO


De forma predeterminada, la función Administrador de AGPM tiene control total es decir, todos

los permisos de AGPM:

Mostrar contenido

Leer configuración

Editar configuración

Crear GPO

Implementar GPO

Eliminar GPO

Exportar GPO

Importar GPO

Crear plantilla

Modificar opciones

Modificar seguridad

Los permisos Modificar opciones y Modificar seguridad son exclusivos de la función

Administrador de AGPM.

Configuración de Advanced Group Policy Management

En Administración de directivas de grupos (AGPM), como Administrador AGPM (Control total),

puede configurar de forma centralizada las conexiones del servidor AGPM para los

administradores de directiva de grupo, configurar la notificación por correo electrónico de AGPM,

configurar la seguridad opcional para el correo electrónico de AGPM, delegar el acceso a los

Objetos de directiva de grupo (GPO) del entorno de producción del dominio y configurar el

registro y el seguimiento para solucionar problemas.

Notas

14

Configuración de las conexiones con el servidor de AGPM

Configuración de notificación por correo electrónico

Configuración de seguridad de correo electrónico para AGPM

Delegación de acceso al entorno de producción



Para obtener información acerca de cómo delegar el acceso a los GPO en el archivo, vea

Movimiento del servidor de AGPM y del archivo.

Para obtener información acerca de cómo restringir el número de versiones de cada GPO

que se almacena en el archivo, vea Limitación de versiones de GPO almacenadas.



Todas las versiones de cada Objeto de directiva de grupo (GPO) controlado se almacenan en un

archivo central, de forma que los administradores de directiva de grupo pueden ver y modificar

los GPO sin conexión sin crear un impacto inmediato en la versión implementada de cada GPO.

Se requiere una cuenta de usuario con la función Administrador AGPM (Control total), la cuenta

de usuario del aprobador que ha creado el GPO utilizado en estos procedimientos o una cuenta

de usuario con los permisos necesarios en Administración de directivas de grupos (AGPM) a fin

de llevar a cabo los procedimientos de configuración central de ubicaciones de archivos para

todos los administradores de directiva de grupo. Revise los detalles en "Consideraciones

adicionales" de este tema.

Configuración de las conexiones con el servidor AGPM

Como Administrador de AGPM, se puede asegurar de que todos los administradores de directiva

de grupo se conecten al mismo servidor AGPM configurando de forma centralizada los valores

asociados. Si el entorno requiere servidores AGPM independientes para algunos o todos los

dominios, configure dichos servidores AGPM adicionales como excepciones a la opción

predeterminada. Si no realiza una configuración central de las conexiones con el servidor AGPM,

cada administrador de directiva de grupo debe configurar manualmente el servidor AGPM para

que se muestre en cada dominio.

Configuración de una conexión de servidor AGPM para todos los administradores de

directiva de grupo

Configuración de conexiones de servidor AGPM adicionales para todos los administradores

de directiva de grupo

Configuración manual de una conexión del servidor AGPM para una cuenta

1. En el árbol Consola de administración de directiva de grupo, edite un GPO que se

Para configurar una conexión de servidor de AGPM para todos los administradores de directivas de grupo

15

aplique a todos los administradores de directiva de grupo. (Para obtener más

información, consulte Edición de GPO.)

2. En la ventana Editor de administración de directivas de grupo, haga clic en

Configuración de usuario, Directivas, Plantillas administrativas, Componentes de

Windows y AGPM.

3. En el panel de detalles, haga doble clic en AGPM: especificar servidor AGPM

predeterminado (todos los dominios).

4. En la ventana Propiedades, active la casilla Habilitado y escriba el puerto y el nombre

del equipo completos (por ejemplo, server.contoso.com:4600).

5. Haga clic en Aceptar. A menos que desee configurar más conexiones con el servidor

AGPM, cierre la ventana Editor de administración de directivas de grupo e

implemente el GPO. (Para obtener más información, consulte Implementación de GPO.)

Al actualizar una directiva de grupo, la conexión con el servidor de AGPM se configura

para todos los administradores de directiva de grupo.

1. Si no se ha configurado ninguna conexión con el servidor de AGPM, siga el

procedimiento anterior para configurar un servidor AGPM predeterminado para todos los

dominios.

2. Para configurar servidores AGPM independientes para algunos o todos los dominios

(con lo que se invalida el servidor AGPM predeterminado), en el árbol Consola de

administración de directiva de grupo, edite un GPO que se aplique a todos los

administradores de directiva de grupo. (Para obtener más información, consulte Edición

de GPO.)


Configuración de usuario, Directivas, Plantillas administrativas, Componentes de

Windows y, por último, en AGPM.

4. En el panel de detalles, haga doble clic en AGPM: especificar servidores de AGPM.

5. En la ventana Propiedades, active la casilla Habilitado y haga clic en Mostrar.

6. En la ventana Mostrar contenido:

a. Haga clic en Agregar.

b. En Nombre de valor, escriba el nombre de dominio (por ejemplo,

server1.contoso.com).

c. En Valor, escriba el puerto y el nombre del servidor AGPM que se va a usar en este

dominio (por ejemplo, server2.contoso.com:4600). A continuación, haga clic en

Aceptar. (De forma predeterminada, el servicio AGPM realiza la escucha en el

puerto 4600. Para utilizar un puerto diferente, vea Modificación del servicio

AGPM).

d. Repita los pasos para cada dominio sin usar el servidor AGPM predeterminado.

Para configurar de conexiones de servidor AGPM adicionales para todos los administradores de directiva de grupo

16

7. Haga clic en Aceptar para cerrar las ventanas Mostrar contenido y Propiedades.

8. Cierre la ventana Editor de administración de directivas de grupo. (Para obtener más

información, consulte Implementación de GPO.) Al actualizar una directiva de grupo, las

conexiones con el servidor de AGPM se configuran para todos los administradores de

directiva de grupo.

Si ya ha realizado la configuración central de la conexión con el servidor de AGPM, la opción de

configuración manual no está disponible para todos los administradores de directiva de grupo.

1. En el árbol de la Consola de administración de directivas de grupos, haga clic en

Control de cambios para el bosque y dominio en los que desea administrar los GPO.

2. En el panel de detalles, haga clic en la ficha Servidor AGPM.

3. Escriba el nombre del equipo completo en el servidor AGPM que administre el archivo

usado en este dominio (por ejemplo, server.contoso.com) y el puerto de escucha del

servicio AGPM (de forma predeterminada, el puerto 4600).

4. Haga clic en Aplicar y, a continuación, haga clic en Sí para confirmar.


Es necesario que pueda editar e implementar un GPO para poder llevar a cabo los

procedimientos de configuración central de las conexiones con el servidor de AGPM de

todos los administradores de directiva de grupo. Consulte Edición de GPO e Implementación

de GPO para obtener más detalles.

El servidor AGPM seleccionado determina qué GPO se muestran en la ficha Contenido y en

qué ubicación se aplica la configuración de la ficha Delegación de dominio. Si no se

administra de forma centralizada a través de la plantilla administrativa, cada administrador de

directiva de grupo debe configurar esta opción para que apunte al servidor AGPM del

dominio.

Se necesita restringir la pertenencia al grupo Propietarios del creador de directivas de grupo

para que no se use para evitar la administración AGPM del acceso a los GPO. (En la

Consola de administración de directivas de grupos., haga clic en Objetos de directiva

de grupo en el bosque y dominio en los que desee administrar los GPO, luego haga clic en

Delegación y, a continuación, configure los ajustes de modo que cumplan con las

necesidades de su empresa.)



Configuración de notificación por correo electrónico

Cuando un editor o revisor trata de crear, implementar o eliminar un Objeto de directiva de grupo

(GPO), se envía una solicitud de esta acción a una o varias direcciones de correo electrónico

designadas para que un aprobador puede evaluar la solicitud e implementarla o denegarla.

Para configurar manualmente qué servidor AGPM se mostrará para su cuenta

17

Determine las direcciones de correo electrónico a las que desea enviar las notificaciones, así

como el alias desde el que se envían las notificaciones.

Se requiere una cuenta de usuario con la función Administrador AGPM (Control total) o con los

permisos adecuados en Administración de directivas de grupos (AGPM) para llevar a cabo el

procedimiento. Revise los detalles en "Consideraciones adicionales" de este tema.



2. En el panel de detalles, haga clic en la ficha Delegación de dominio.

3. En el campo Desde dirección de correo electrónico, escriba el alias de correo

electrónico para AGPM desde el que se deben enviar las notificaciones.

4. En el campo A dirección de correo electrónico, escriba una lista delimitada por comas

de las direcciones de correo electrónico de los aprobadores que deben recibir las

solicitudes de aprobación.

5. En el campo Servidor SMTP, escriba un servidor de correo SMTP válido.

6. En los campos Nombre de usuario y Contraseña, escriba las credenciales de un

usuario con acceso al servicio SMTP.

7. Haga clic en Aplicar.


De forma predeterminada, debe ser un Administrador AGPM (Control total) para poder llevar

a cabo este procedimiento. Más concretamente, debe tener los permisos Mostrar contenido

y Modificar opciones en lo que respecta al dominio.

La notificación por correo electrónico para AGPM es una configuración a nivel de dominio.

Puede proporcionar distintas direcciones de correo electrónico de un aprobador o alias de

correo electrónico de AGPM en la ficha Delegación de dominio de cada dominio o utilizar

las mismas direcciones de correo electrónico en todo el entorno.

De forma predeterminada, no se cifran los mensajes de correo electrónico que se envían

como resultado de las acciones en Administración de directivas de grupos (AGPM). Sin

embargo, puede configurar la seguridad de correo electrónico para AGPM mediante la

configuración del registro para especificar si se desea utilizar o no el cifrado Capa de sockets

seguros (SSL) y el puerto SMTP que se va a utilizar. Para obtener más información, vea

Configuración de seguridad de correo electrónico para AGPM .



Configuración de seguridad de correo electrónico para AGPM

De forma predeterminada, las notificaciones por correo electrónico que se han enviado debido a

las acciones de Administración de directivas de grupos (AGPM) no están cifradas y se envían a

Para configurar la notificación por correo electrónico para AGPM

18

través del puerto SMTP 25. Sin embargo, puede configurar la seguridad de correo electrónico

para AGPM mediante la configuración del Registro para especificar si se desea utilizar o no el

cifrado de Capa de sockets seguros (SSL) y el puerto SMTP que se va a utilizar.

Al cifrar las notificaciones por correo electrónico de AGPM, puede proteger mejor las que podrían

revelar información confidencial acerca de la seguridad de la organización. Se recomienda cifrar

las notificaciones por correo electrónico cuando se vayan a retransmitir a través de servidores de

correo remotos y puede que lo requieran algunas legislaciones de cumplimiento.

La edición incorrecta del Registro puede causar graves daños al sistema. Antes de

realizar cambios en el Registro, debe hacer una copia de seguridad de los datos de valor

guardados en el equipo.

Se requiere una cuenta de usuario que tenga la función Administrador AGPM (Control total), la

cuenta de usuario del aprobador que ha creado el Objeto de directiva de grupo (GPO) que se

utiliza en estos procedimientos o una cuenta de usuario con los permisos necesarios en AGPM a

fin de llevar a cabo estos procedimientos. Revise los detalles en "Consideraciones adicionales"

de este tema.


aplique a todos los servidores AGPM para los que desea configurar la seguridad de

correo electrónico. (Para obtener más información, consulte Edición de GPO.)

2. En la ventana Editor de administración de directivas de grupo, expanda las carpetas

Configuración del equipo, Preferencias, Configuración de Windows y Registro.

3. En el árbol de consola, haga clic con el botón secundario en Registro, elija Nuevo, haga

clic en Elemento de recopilación y escriba Seguridad de correo electrónico para

AGPM.

4. Creación de elementos de preferencias de registro para activar el cifrado:

a. En el árbol de consola, haga clic con el botón secundario en Seguridad de correo

electrónico para AGPM, elija Nuevo y haga clic en Elemento del Registro.

b. En el cuadro de diálogo Nuevas propiedades de registro, haga clic en la acción

Actualizar.

c. Para Subárbol, seleccione HKEY_LOCAL_MACHINE.

d. Para Ruta de la clave, escriba SOFTWARE\Microsoft\AGPM.

e. Para Nombre de valor, escriba EncryptSmtp.

f. Para Tipo de valor, escriba REG_DWORD.

g. En Base, seleccione Decimal y en Información del valor, escriba 1 para utilizar el

cifrado SSL o 0 para permitir que el correo electrónico se envíe sin cifrar. De forma

predeterminada, el correo electrónico se envía sin cifrado. Haga clic en Aceptar.

Precaución

Para configurar la seguridad de correo electrónico para AGPM mediante las preferencias de directivas de grupo

19

5. Creación de elementos de preferencias de registro para especificar el puerto SMTP:

a. En el árbol de consola, haga clic con el botón secundario en Seguridad de correo

electrónico para AGPM, elija Nuevo y haga clic en Elemento del Registro.

b. En el cuadro de diálogo Nuevas propiedades de registro, haga clic en la acción

Actualizar.

c. Para Subárbol, seleccione HKEY_LOCAL_MACHINE.

d. En Ruta de la clave, escriba SOFTWARE\Microsoft\AGPM.

e. Para Nombre de valor, escriba SmtpPort.

f. Para Tipo de valor, escriba REG_DWORD.

g. En Base, seleccione Decimal y en Información del valor, escriba un número de

puerto para el puerto SMTP. De forma predeterminada, el puerto SMTP es el puerto

25 si el cifrado no está habilitado o el puerto 587 si está habilitado el cifrado SSL.

Haga clic en Aceptar.

6. Cierre la ventana Editor de administración de directivas de grupo y, a continuación,

proteja e implemente el GPO. Para obtener más información, vea Implementación de

GPO.


Debe poder editar e implementar un GPO para establecer la configuración del Registro

mediante las preferencias de directivas de grupo. Consulte Edición de GPO e

Implementación de GPO para obtener más detalles.



Delegación de acceso al entorno de producción

En Administración de directivas de grupos (AGPM), puede cambiar el acceso al Objetos de

directiva de grupo (GPO) en el entorno de producción del dominio reemplazando los permisos

existentes en esos GPO. Puede configurar los permisos en el nivel de dominio para permitir o

impedir que los usuarios editen, eliminen o modifiquen la seguridad de los GPO en el entorno de

producción cuando no usan la carpeta Cambiar control en Consola de administración de

directivas de grupo (GPMC).

Cambiar el modo en que se delega el acceso al entorno de producción no afecta a la

capacidad de los usuarios para vincular los GPO.

Cuando se controlan o se implementan los GPO, se elimina el acceso a otras cuentas

excepto a las que tienen permisos de lectura y de aplicación de permisos.

Para llevar a cabo el procedimiento se requiere una cuenta de usuario que tenga la función de

Administrador AGPM (Control total) o los permisos necesarios en Administración de directivas de

grupos (AGPM). Revise los detalles en "Consideraciones adicionales" de este tema.

Notas

20



2. Haga clic en la ficha Delegación de producción.

3. Para agregar permisos para un usuario o grupo que no tiene acceso al entorno de

producción o para reemplazar los permisos de un usuario o grupo que sí tiene acceso:

a. Haga clic en Agregar, seleccione un usuario o grupo, y haga clic en Aceptar.

b. Seleccione los permisos que desea delegar a ese usuario o grupo para el entorno de

producción, y haga clic en Aceptar.

4. Para quitar todos los permisos del entorno de producción para un usuario o un grupo,

seleccione el usuario o el grupo, haga clic en Quitar y, a continuación, en Aceptar.



a cabo este procedimiento. Más concretamente, debe tener el permiso Modificar seguridad

para el dominio.

Los permisos para la cuenta de servicio AGPM no se pueden cambiar en la ficha

Delegación de producción.

De forma predeterminada, las siguientes cuentas tienen permisos de GPO en el entorno de

producción:

Cuenta Permisos predeterminados de GPO

<Cuenta de servicio AGPM> Editar configuración, eliminar, modificar

seguridad

Usuarios autenticados Leer, aplicar

Administradores del dominio Editar configuración, eliminar, modificar

seguridad

Administradores de organización Editar configuración, eliminar, modificar

seguridad

Controladores de dominio empresariales Leer

Sistema Editar configuración, eliminar, modificar

seguridad





Para cambiar el acceso a los GPO en el entorno de producción del dominio

21






Es posible realizar una configuración central de las funciones de registro y seguimiento

opcionales mediante las plantillas administrativas. Esto puede ser útil al diagnosticar los

problemas relacionados con Administración de directivas de grupos (AGPM).


de usuario del aprobador que ha creado el Objeto de directiva de grupo (GPO) que se utiliza en

estos procedimientos o una cuenta de usuario con los permisos necesarios en AGPM a fin de

llevar a cabo estos procedimientos. Además, se requiere una cuenta de usuario con acceso al

servidor AGPM para iniciar el registro en el servidor. Revise los detalles en "Consideraciones



aplique a todos los administradores de directiva de grupo para los que desea activar el

registro y el seguimiento. (Para obtener más información, consulte Edición de GPO.)


Configuración de equipo, Directivas, Plantillas administrativas, Componentes de

Windows y AGPM.

3. En el panel de detalles, haga doble clic en AGPM: configurar registro.

4. En la ventana Propiedades, haga clic en Habilitado y configure el nivel de detalle que

desea en los registros.

5. Haga clic en Aceptar.

6. Cierre la ventana Editor de administración de directivas de grupo. (Para obtener más

información, consulte Implementación de GPO.) Una vez actualizada la directiva de

grupo, debe reiniciar el servicio AGPM para que inicie, modifique o detenga el registro en

el servidor AGPM. Los administradores de directiva de grupo deben cerrar y reiniciar el

GPMC para que inicie, modifique o detenga el registro en los equipos.

Rastrear ubicaciones de archivos:

Cliente: %LocalAppData%\Microsoft\AGPM\agpm.log

Servidor: %ProgramData%\Microsoft\AGPM\agpmserv.log


Para poder configurar el registro y seguimiento de AGPM, debe poder editar e implementar

un GPO. Consulte Edición de GPO e Implementación de GPO para obtener más detalles.


Para configurar el registro y el seguimiento en AGPM

22


Administración del archivo

En Administración de directivas de grupos (AGPM), como Administrador AGPM (Control total),

administra el acceso al archivo y tiene la opción de eliminar el número de cada Objeto de

directiva de grupo (GPO) almacenado en el archivo. También puede delegar el acceso a los

GPO en el archivo en el nivel de dominio o en el nivel de GPO. Además, puede hacer la copia de

seguridad del archivo para que se pueda recuperar si se produce un desastre.

Como Administrador de AGPM, puede exportar un GPO a un archivo, copiar el archivo en otro

bosque y después importar el GPO en un dominio de ese bosque. A diferencia de los editores,

puede importar la configuración de directiva desde una copia de seguridad de GPO directamente

en un nuevo GPO controlado al crearlo. Para obtener información acerca de cómo exportar un

GPO, vea Exportación de un GPO a un archivo.

Delegación de acceso de nivel de dominio al archivo

Delegación de acceso a GPO individuales en el archivo

Limitación de versiones de GPO almacenadas

Importación de GPO desde un archivo

Creación de una copia de seguridad del archivo

Restauración del archivo a partir de una copia de seguridad


Para obtener información acerca de cómo delegar el acceso a los GPO en el entorno de

producción, vea Delegación de acceso al entorno de producción.

Para obtener información acerca de cómo mover el archivo, vea Movimiento del servidor de

AGPM y del archivo.


Delegación de acceso de nivel de dominio al archivo

Configure la delegación de su entorno de forma que los administradores de directiva de grupo

tengan los derechos adecuados y control sobre los Objetos de directiva de grupo (GPO) en el

archivo. Existen permisos básicos que puede aplicar para conseguir un funcionamiento más

eficaz. Puede otorgar los permisos como desee, de forma que se ajusten a las necesidades de

su organización.





Para delegar acceso a fin de que los usuarios y los grupos tengan los permisos

adecuados para todos los GPO de un dominio

23


2. Haga clic en la ficha Delegación de dominio y configure el acceso a todos los GPO del

dominio:

a. Para agregar acceso de un usuario o un grupo, haga clic en el botón Agregar,

seleccione el usuario o el grupo, y haga clic en Aceptar. En el cuadro de diálogo

Agregar grupo o usuario, seleccione una función y haga clic en Aceptar.

b. Para quitar el acceso de un usuario o un grupo, selecciónelo y haga clic en el botón

Quitar.

c. Para modificar las funciones y los permisos delegados a un usuario o grupo, haga

clic en el botón Opciones avanzadas. En el cuadro de diálogo Permisos,

seleccione el usuario o grupo y active la casilla de cada función para asignársela a

dicho usuario o grupo. A continuación, haga clic en Aceptar.

Nota

Las funciones Editor y Aprobador incluyen los permisos de la función

Revisor.



a cabo este procedimiento. Más concretamente, debe tener el permiso Modificar seguridad

para el dominio.

Para delegar el acceso de lectura a los administradores de directivas de grupo que utilicen

AGPM, debe otorgarles los permisos Mostrar contenido y Leer configuración. Esto les

permitirá ver los GPO en la ficha Contenido de AGPM. Otros permisos se deben delegar de

forma explícita.

Los editores deben tener el permiso Lectura en la copia implementada de un GPO para

poder usar por completo la instalación de software de directivas de grupo.









Delegación de acceso a GPO individuales en el archivo

Como Administrador AGPM (Control total), puede delegar la administración de un Objeto de

directiva de grupo (GPO) controlado en el archivo, de forma que los editores y grupos

seleccionados puedan editarlo, los revisores puedan revisarlo y, por último, los aprobadores

puedan aprobarlo.

24


de usuario del aprobador que ha creado el GPO o una cuenta de usuario con los permisos

necesarios en Administración de directivas de grupos (AGPM) a fin de llevar a cabo el




2. En la ficha Contenido del panel de detalles, haga clic en la ficha Controlado para

mostrar los GPO controlados y, a continuación, haga clic en el GPO para delegar:





Quitar.

Nota

Si un usuario o un grupo hereda acceso a todo el dominio, el botón

Quitar no aparece disponible. Es posible modificar el acceso a todo el

dominio en la ficha Delegación de dominio.





Nota


Revisor.


De forma predeterminada, debe ser el aprobador que ha creado o controlado el GPO o un

Administrador AGPM (Control total) para poder llevar a cabo este procedimiento. Más

concretamente, debe tener el permiso Mostrar contenido en el dominio y el permiso

Modificar seguridad en el GPO.




forma explícita.





Para delegar la administración de un GPO controlado

25







Limitación de versiones de GPO almacenadas

De forma predeterminada, todas las versiones de cada Objeto de directiva de grupo (GPO)

controlado se conservan en el servidor AGPM. Sin embargo, es posible limitar el número de

versiones conservadas para cada GPO y eliminar versiones antiguas una vez superado el límite.

Al eliminar versiones de GPO, un registro de dicha versión permanece en el historial del GPO,

aunque la propia versión de GPO se elimina del archivo.






2. En el panel de detalles, haga clic en la ficha Servidor AGPM.

3. Active la casilla Suprimir versiones anteriores de cada GPO del archivo y escriba el

número máximo de versiones de GPO que se van a almacenar para cada GPO, sin

incluir la versión actual. Para conservar sólo la versión actual, escriba 0. El máximo no

debe ser superior a 999.

Importante

Sólo las versiones de GPO que aparecen en la ficha Versiones únicas de la

ventana Historial cuentan con respecto al límite.

4. Haga clic en el botón Aplicar.



a cabo este procedimiento. Más concretamente, debe tener los permisos Mostrar contenido

y Modificar opciones en lo que respecta al dominio.

Puede impedir que se elimine una versión de GPO si la marca en el historial como no apto

para eliminación. Para ello, haga clic con el botón secundario en la versión del historial del

GPO y haga clic en No eliminar.



Para limitar el número de versiones de GPO almacenadas

26


En Administración de directivas de grupos (AGPM), si es Administrador AGPM (Control total) y

ha exportado un Objeto de directiva de grupo (GPO) a un archivo CAB, puede importar la

configuración de directiva de ese GPO en un GPO nuevo o existente de un dominio de otro

bosque. Para obtener información acerca de cómo exportar la configuración de GPO a un

archivo CAB, vea Exportación de un GPO a un archivo.

Se requiere una cuenta de usuario con la función Administrador AGPM (Control total) o los

permisos necesarios en AGPM a fin de importar la configuración de directiva en un nuevo GPO

controlado. Se requiere una cuenta de usuario con la función Administrador AGPM (Control total)

o Editor, o los permisos necesarios en AGPM a fin de importar la configuración de directiva en un

GPO existente. Revise los detalles en "Consideraciones adicionales" de este tema.

Importación de la configuración de directiva de un archivo

Al importar la configuración de directiva de un archivo, puede importarla en un GPO nuevo o en

uno existente. Sin embargo, si importa la configuración de directiva en un GPO existente, se

reemplaza toda la configuración de directiva dentro del mismo.

Importación de la configuración de directiva en un GPO nuevo controlado

Importación de la configuración de directiva en un GPO existente

1. En el árbol Consola de administración de directiva de grupo, haga clic en Cambiar

control en el dominio en el que desea importar la configuración de directiva.

2. En la ficha Contenidos, haga clic en Controlado para mostrar los GPO controlados.

3. Creación de un GPO nuevo controlado. En el cuadro de diálogo Nuevo GPO

controlado, haga clic en Importar y, a continuación, haga clic en Iniciar asistente. Para

obtener más información acerca de cómo crear un GPO, vea Creación de nuevos GPO

controlados.

4. Siga las instrucciones del Asistente para importar configuración con el fin de

seleccionar una copia de seguridad de GPO, importe su configuración de directiva del

mismo para el nuevo GPO y escriba un comentario para la traza de auditoría del GPO

nuevo.




3. Desproteja el GPO de destino en el que desee importar la configuración de directiva.

4. Haga clic con el botón secundario en el GPO de destino, seleccione Importar desde y

haga clic en Archivo.


Para importar la configuración de directiva en un GPO nuevo controlado

Para importar la configuración de directiva en un GPO existente

27

seleccionar una copia de seguridad de GPO, importe su configuración de directiva para

reemplazarla en el GPO de destino y escriba un comentario para la traza de auditoría del

GPO de destino. De forma predeterminada, el GPO de destino se protege una vez que

finaliza el asistente.


Para importar la configuración de directiva en un GPO nuevo controlado, debe tener los

permisos Mostrar contenido, Importar GPO y Crear GPO para el dominio. De forma

predeterminada, debe ser un Administrador de AGPM para poder llevar a cabo este

procedimiento.

Para importar la configuración de directiva en un GPO existente, debe tener los permisos

Mostrar contenido, Editar configuración e Importar GPO para el dominio y debe

desproteger el GPO. De forma predeterminada, para realizar este procedimiento debe ser un

Editor o Administrador de AGPM (Control total).




Para ayudar en la recuperación del archivo de Administración de directivas de grupos (AGPM) si

se produce un desastre, un Administrador AGPM (Control total) debe realizar su copia de

seguridad con frecuencia. De forma predeterminada, el archivo se crea en

%ProgramData%\Microsoft\AGPM. Sin embargo, puede especificar una ruta de acceso diferente

durante la instalación del servidor de Microsoft Advanced Group Policy Management.

Para llevar a cabo este procedimiento, es necesaria una cuenta de usuario que tenga acceso

tanto al servidor AGPM (el equipo en el que está instalado el servicio AGPM) como a la carpeta

que contenga el archivo.

1. Detenga el servicio AGPM. Para obtener más información, consulte Inicio o detención

del servicio AGPM.

2. Realice la copia de seguridad de la carpeta de archivo con el Explorador de Windows,

Xcopy, Copia de seguridad de Windows Server® u otra herramienta de copia de

seguridad. Asegúrese de hacer copia de seguridad de los archivos ocultos, del sistema y

de sólo lectura.

3. Almacene la copia de seguridad de los archivos en una ubicación segura.

4. Reinicie el servicio AGPM. Para obtener más información, consulte Inicio o detención del

servicio AGPM.

Si un Administrador de AGPM realiza una copia de seguridad del archivo con poca

frecuencia, la Objetos de directiva de grupo (GPO) de la copia de seguridad del archivo

Para crear una copia de seguridad del archivo

Nota

28

no será actual. Para asegurarse de que la copia de seguridad es actual, realice la copia

como parte de la estrategia diaria de copia de seguridad de su organización.






Si se produce un desastre y el archivo de Administración de directivas de grupos (AGPM) se

daña o se destruye, un Administrador AGPM (Control total) puede restaurarlo a partir de una

copia de seguridad preparada de antemano e importar después desde el entorno de producción

del dominio los Objetos de directiva de grupo (GPO) que no estén en el archivo o para los que la

versión de producción sea más actual que la del archivo. Para obtener información acerca de

cómo restaurar una copia de seguridad de un archivo en un servidor diferente, vea Movimiento

del servidor de AGPM y del archivo.

Para llevar a cabo este procedimiento, es necesaria una cuenta de usuario que tenga acceso

tanto al servidor AGPM (el equipo en el que está instalado el servicio AGPM) como a la carpeta

que contenga el archivo.

1. Detenga el servicio AGPM. Para obtener más información, consulte Inicio o detención

del servicio AGPM.

2. Quite el archivo existente. De forma predeterminada, la carpeta del archivo es

%ProgramData%\Microsoft\AGPM, sin embargo, el Administrador de AGPM que instaló

el servidor de Microsoft Advanced Group Policy Management puede haber especificado

una ubicación diferente durante la instalación.

3. Vuelva a crear la carpeta del archivo configurando la ruta de acceso al mismo, la cuenta

del servicio AGPM, el propietario del archivo y el puerto de escucha. No es necesario

usar los mismos valores que los que se utilizaron durante la instalación original. Para

obtener más información, consulte Modificación del servicio AGPM.

4. Copie el contenido de la copia de seguridad del archivo en la carpeta de archivo,

copiando las subcarpetas y archivos para asegurarse de que cada una herede los

permisos de la carpeta de archivo. Tenga cuidado de no sobrescribir la carpeta de

archivo.

5. Si duda de si un GPO de la copia de seguridad de archivo es más actual que la copia de

ese GPO en producción, genere un informe diferente y compare su configuración. Para

obtener más información, vea Identificación de diferencias entre GPO, versiones de GPO

o plantillas.

6. Reinicie el servicio AGPM. Para obtener más información, consulte Inicio o detención del

servicio AGPM.

Para restaurar el archivo a partir de una copia de seguridad

29





Administración del servicio AGPM

El servicio AGPM es un servicio de Windows que actúa como proxy de seguridad mediante la

administración del acceso de clientes a Objetos de directiva de grupo (GPO) en el archivo y en el

entorno de producción del dominio. Exige la delegación de Administración de directivas de

grupos (AGPM) y proporciona un nivel mejorado de seguridad. El servicio AGPM está alojado en

el servidor en el que está instalado Advanced Group Policy Management de Microsoft: servidor.

No modifique los ajustes del servicio AGPM de Herramientas administrativas y

Servicios en el sistema operativo. Esto podría impedir la ejecución del servicio AGPM.

Inicio o detención del servicio AGPM





Inicio o detención del servicio AGPM

El servicio AGPM es un servicio de Windows que actúa como proxy de seguridad administrando

el acceso de clientes a Objetos de directiva de grupo (GPO) en el archivo y en el entorno de

producción.

La detención o deshabilitación del servicio AGPM impide que los clientes AGPM lleven a

cabo ninguna operación (como, por ejemplo, listados o edición de GPO) a través del

servidor.

Es necesaria una cuenta de usuario con acceso al servidor AGPM (el equipo en el que está

instalado el servicio AGPM) para llevar a cabo este procedimiento.

1. En el equipo en el que esté instalado Advanced Group Policy Management de Microsoft:

servidor (y, por tanto, el servicio AGPM), haga clic en Inicio, Panel de control,

Herramientas administrativas y, por último, en Servicios.

2. En la lista de servicios, haga clic con el botón secundario en Servicio AGPM y

seleccione Iniciar, Reiniciar o Detener.

Precaución

Importante

Para iniciar o detener el servicio AGPM

30

Precaución

No modifique los ajustes del servicio AGPM de Herramientas

administrativas y Servicios en el sistema operativo. Esto podría impedir la

ejecución del servicio AGPM.




El servicio AGPM es un servicio de Windows que actúa como proxy de seguridad mediante la

administración del acceso de clientes a Objetos de directiva de grupo (GPO) en el archivo y en el

entorno de producción del dominio. Si se detiene o deshabilita este servicio, los clientes AGPM

no podrán llevar a cabo operaciones a través del servidor. Se puede modificar la ruta de archivo,

la cuenta de servicio AGPM y el puerto de escucha del servicio AGPM.

No modifique los ajustes del servicio AGPM de Herramientas administrativas y

Servicios en el sistema operativo. Esto podría impedir la ejecución del servicio AGPM.

Se requiere una cuenta de usuario miembro del grupo Administradores de dominio y con acceso

al servidor AGPM (el equipo en el que se ha instalado Advanced Group Policy Management de

Microsoft: servidor) para llevar a cabo este procedimiento. Además, debe proporcionar

credenciales para la cuenta de servicio AGPM a fin de llevar a cabo este procedimiento.

1. En el equipo en el que esté instalado el servidor de Microsoft Advanced Group Policy

Management, haga clic en Inicio, Panel de control, Programas y, por último, en

Programas y funciones.

2. Haga clic con el botón secundario en Advanced Group Policy Management de

Microsoft: servidor y, a continuación, haga clic en Cambiar.

3. Haga clic en Siguiente y, a continuación, en Modificar.

4. Siga las instrucciones de configuración del servicio AGPM:

a. En el cuadro de diálogo Ruta de acceso del archivo, escriba la nueva ubicación del

archivo relacionada con el servidor AGPM o confirme la ruta actual. A continuación,

haga clic en Siguiente.

Importante

La ruta de acceso del archivo puede apuntar a una carpeta del servidor

AGPM o a otro lugar, pero la ubicación debe tener suficiente espacio para

almacenar todos los GPO y datos de historial administrados por este

servidor AGPM.

b. En el cuadro de diálogo Cuenta de servicio AGPM, introduzca las credenciales de

Precaución

Para modificar el servicio AGPM

31

una cuenta de servicio en función de las que se ejecutará el servicio AGPM y haga

clic en Siguiente.

Importante

La modificación de la instalación borra las credenciales de la cuenta de

servicio AGPM. Debe volver a introducir las credenciales, aunque no es

necesario que coincidan con las credenciales usadas durante la instalación

original.

La cuenta del servicio AGPM debe tener acceso completo a los GPO que

administrará y se le otorgará el permiso Iniciar sesión como servicio. Si va

a administrar GPO en un único dominio, puede hacer que la cuenta de

sistema local del controlador de dominio principal sea la Cuenta de servicio

AGPM.

Si va a administrar GPO en varios dominios o si un servidor de miembros va

a ser el servidor AGPM, debe configurar una cuenta diferente como Cuenta

de servicio AGPM, ya que la cuenta de sistema local de un controlador de

dominio no puede tener acceso a GPO de otros dominios.

c. En el cuadro de diálogo Propietario del archivo, escriba el nombre de usuario de

un Administradores de AGPM o un grupo de Administradores de AGPM, y haga clic

en Siguiente.

Nota

La modificación de la instalación borra las credenciales del propietario del

archivo. Debe volver a introducir las credenciales, aunque no es necesario

que coincidan con las credenciales usadas durante la instalación original.

d. En el cuadro de diálogo Configuración de puerto, escriba el nuevo puerto de

escucha para el servicio AGPM o confirme el puerto seleccionado actualmente. A

continuación, haga clic en Siguiente.

Notas

De forma predeterminada, el servicio AGPM realiza la escucha en el puerto

4600.

Si configura de forma manual excepciones de puerto o tiene reglas para

configurar excepciones de puerto, puede desactivar la casilla Agregar una

excepción de puerto al firewall.

5. Haga clic en Cambiar y, una vez completada la instalación, haga clic en Finalizar.

6. Si ha cambiado el puerto de escucha del servicio AGPM, modifique el puerto en la

conexión con el servidor de AGPM de cada administrador de directiva de grupo. (Para

obtener más información, vea Configuración de las conexiones con el servidor de

AGPM).

7. Repita el proceso con cada servidor AGPM en el que deban aplicarse los cambios de

configuración.

32




Si va a reemplazar el servidor AGPM y el servidor en el que se hospeda el archivo, debe mover

el servicio AGPM y el archivo. Si lo prefiere, puede mover el servicio AGPM y el archivo de forma

independiente.

El servidor AGPM es el equipo que hospeda el servicio AGPM y el equipo en el que está

instalado el servidor de Microsoft Advanced Group Policy Management.

De forma predeterminada, el archivo se hospeda en el servidor AGPM, pero puede

especificar la ruta de acceso al archivo para hospedarlo en otro servidor en su lugar.

Para llevar a cabo este procedimiento, es necesaria una cuenta de usuario que sea miembro del

grupo de administradores de dominio y tenga acceso tanto al servidor AGPM anterior como al

nuevo. Además, debe proporcionar las credenciales de la cuenta de servicio AGPM que usará

este nuevo servidor AGPM a fin de llevar a cabo este procedimiento.

1. Realice una copia de seguridad del archivo. Para obtener más información, vea Creación

de una copia de seguridad del archivo.

2. Mueva el servicio AGPM:

a. Detenga el servicio AGPM. Para obtener más información, consulte Inicio o

detención del servicio AGPM.

b. Instale el servidor de Microsoft Advanced Group Policy Management en el nuevo

servidor que vaya a hospedar el servicio AGPM. Durante este proceso, especifica la

nueva ruta de acceso al archivo, la ubicación del mismo en relación con el servidor

AGPM. Para obtener más información, vea Guía paso a paso de Microsoft Advanced

Group Policy Management 4.0 (http://go.microsoft.com/fwlink/?LinkId=153505) y

Guía de planeamiento de Microsoft Advanced Group Policy Management

(http://go.microsoft.com/fwlink/?LinkId=156883).

c. O bien un Administrador AGPM (Control total) debe configurar la conexión del

servidor AGPM para todos los administradores de directiva de grupo que vayan a

usar el nuevo servidor AGPM y quitar la conexión para el servidor AGPM antiguo, o

bien cada administrador de directiva de grupo debe configurar manualmente la

conexión del nuevo servidor AGPM y quitar la del antiguo para el complemento

AGPM en su equipo. Para obtener más información, vea Configuración de las

conexiones con el servidor de AGPM.

Nota

Es aconsejable desinstalar el servidor de Microsoft Advanced Group Policy

Notas

Para mover el servicio AGPM y el archivo a un servidor o servidores diferentes

http://go.microsoft.com/fwlink/?LinkId=153505



33

Management del servidor AGPM anterior. De esta forma se asegurará de

que el servicio AGPM no pueda reiniciarse de forma involuntaria en ese

servidor y ocasione confusión si alguna de sus conexiones permanece.

3. Copie el archivo desde la copia de seguridad al nuevo servidor que hospedará el

archivo. Para obtener más información, vea Restauración del archivo a partir de una

copia de seguridad.

Importante

Si movió el archivo sin mover el servicio AGPM al mismo tiempo:

a. Debe cambiar la ruta de acceso al archivo para que señale a la nueva ubicación del

archivo en relación con el servidor AGPM. Para obtener más información, consulte

Modificación del servicio AGPM.

b. Debe volver a escribir la contraseña y confirmarla en la ficha Delegación de

dominio. Para obtener más información, consulte Configuración de notificación por

correo electrónico.






Guía paso a paso de Advanced Group Policy Management de Microsoft 4.0

(http://go.microsoft.com/fwlink/?LinkId=153505)

Guía de planeamiento de Microsoft Advanced Group Policy Management

(http://go.microsoft.com/fwlink/?LinkId=156883)


Realización de tareas del editor En Administración de directivas de grupos (AGPM), un editor es la persona autorizada por un

Administrador AGPM (Control total) para realizar cambios en los Objetos de directiva de grupo

(GPO) y crear plantillas de GPO. Además, un editor puede solicitar que se cree, elimine o

restaure un GPO. Un aprobador debe aprobar la solicitud para que esta se implemente. Un editor

puede exportar un GPO a un archivo de modo que se pueda copiar en un dominio de otro

bosque e importar el GPO que se copió desde otro dominio.

Asegúrese de que se está conectando con el archivo central de GPO. Para obtener más

información, vea Configuración de una conexión con el servidor de AGPM.

Creación, control o importación de GPO

Edición de GPO


Importante



34


Creación de plantillas y establecimiento como predeterminadas

Eliminación o restauración de GPO

Dado que la función Editor incluye los permisos de la función Revisor, un editor también

puede revisar la configuración y comparar GPO. Vea Realización de tareas del revisor

para obtener más información.


De forma predeterminada, se le proporcionan los siguientes permisos a la función Editor:

Mostrar contenido

Leer configuración

Editar configuración

Exportar GPO

Importar GPO

Crear plantilla


Para usar Administración de directivas de grupos (AGPM) y proporcionar control de cambios de

un Objeto de directiva de grupo (GPO), primero debe controlarlo con AGPM. Los nuevos GPO

creados mediante la carpeta Control de cambios se controlarán de forma automática. Como

editor, puede que no tenga permisos para llevar a cabo el control, la creación o la eliminación del

GPO, pero sí tiene los permisos necesarios para iniciar el proceso y enviarle la solicitud al

aprobador.

Solicitud de control de GPO sin control

Solicitud de creación de nuevos GPO controlados

Importación de GPO de producción

Solicitud de control de GPO sin control

Para proporcionarle control de cambios a un Objeto de directiva de grupo (GPO) existente, el

GPO debe estar controlado. A menos que sea aprobador o Administrador AGPM (Control total),

debe solicitar el control del GPO.

Se requiere una cuenta de usuario con la función Editor o Revisor con los permisos adecuados

en Administración de directivas de grupos (AGPM) para llevar a cabo el procedimiento. Revise

los detalles en "Consideraciones adicionales" de este tema.

Nota

Para controlar un GPO sin control

35



2. En la ficha Contenido del panel de detalles, haga clic en la ficha Sin control para

mostrar los GPO sin control.

3. Haga clic con el botón secundario en el GPO que desea controlar con AGPM y, a

continuación, haga clic en Control.

4. A menos que tenga un permiso especial para controlar GPO, debe enviar una solicitud

de control. Para recibir una copia de la solicitud, escriba su dirección de correo

electrónico en el campo CC. Escriba un comentario para que aparezca en el Historial

del GPO y, a continuación, haga clic en Enviar.

5. Cuando la ventana Progreso indique que se ha completado el progreso general, haga

clic en Cerrar. El GPO se quita de la lista en la ficha Sin control y se agrega a la ficha

Pendiente. Una vez que un aprobador apruebe su solicitud, el GPO se mueve a la ficha

Controlado.


De forma predeterminada, debe ser editor o revisor para poder llevar a cabo este

procedimiento. Más concretamente, debe tener los permisos Mostrar contenido y Leer

configuración en lo que respecta al dominio.

Para retirar su solicitud antes de que se apruebe, haga clic en la ficha Pendiente. Haga clic

con el botón secundario en el GPO y, a continuación, haga clic en Retirar. El GPO se

devolverá a la ficha Sin control.




A menos que sea aprobador o Administrador AGPM (Control total), debe solicitar la creación de

un nuevo Objeto de directiva de grupo (GPO).

Se requiere una cuenta de usuario con la función Editor o Revisor con los permisos adecuados

en Administración de directivas de grupos (AGPM) para llevar a cabo el procedimiento. Revise

los detalles en "Consideraciones adicionales" de este tema.



2. Haga clic con el botón secundario en Control de cambios y, a continuación, haga clic

en Nuevo GPO controlado.

3. A menos que tenga un permiso especial para crear GPO, debe enviar una solicitud de

creación. En el cuadro de diálogo Nuevo GPO controlado:

a. Para recibir una copia de la solicitud, escriba su dirección de correo electrónico en el

Para crear un nuevo GPO con el control de cambios administrado a través de AGPM

36

campo CC.

b. Escriba un nombre para el nuevo GPO.

c. Opcional: Escriba un comentario para el nuevo GPO.

d. Para implementar inmediatamente el nuevo GPO en el entorno de producción del

dominio tras la aprobación, haga clic en Crear en vivo. Para crear el nuevo GPO sin

conexión y sin implementarlo de forma inmediata después de la aprobación, haga

clic en Crear sin conexión.

e. Seleccione la plantilla de GPO que se va a usar como punto de partida para el nuevo

GPO.

f. Haga clic en Enviar.


clic en Cerrar. El nuevo GPO aparece en la lista de GPO de la ficha Pendiente. Una vez

que un aprobador apruebe su solicitud, el GPO se mueve a la ficha Controlado.


De forma predeterminada, debe ser editor o revisor para poder llevar a cabo este

procedimiento. Más concretamente, debe tener el permiso Mostrar contenido en lo que

respecta al dominio.


con el botón secundario en el GPO y, a continuación, haga clic en Retirar. Se destruirá el

GPO.




Si se realizan cambios en un Objeto de directiva de grupo (GPO) controlado fuera de

Administración de directivas de grupos (AGPM), puede importar una copia del GPO desde el

entorno de producción del dominio y guardarla en el archivo para conseguir que el estado del

archivo y del entorno de producción sea coherente. (Para importar un GPO sin control, controle

el GPO. Vea Solicitud de control de GPO sin control).

Para completar este procedimiento, se necesita una cuenta de usuario en AGPM con la función

de Editor, Aprobador o Administrador de AGPM (Control total). Revise los detalles en

"Consideraciones adicionales" de este tema.




3. Haga clic con el botón secundario en el GPO y, a continuación, haga clic en Importar

desde Producción.

Para importar un GPO desde el entorno de producción del dominio

37

4. Escriba un comentario para la traza de auditoría del GPO y, a continuación, haga clic en

Aceptar.


De forma predeterminada, debe ser un Editor, un aprobador o un Administrador AGPM

(Control total) para poder llevar a cabo este procedimiento. Más concretamente, debe tener

los permisos Mostrar contenido y Editar configuración, Implementar GPO o Eliminar

GPO en lo que respecta al GPO.



Edición de GPO

Se debe controlar un Objeto de directiva de grupo (GPO) mediante Administración de directivas

de grupos (AGPM) antes de editarlo. Vea Creación, control o importación de GPO para obtener

más información sobre el control de GPO.

Para realizar cambios en un GPO sin conexión sin crear un impacto inmediato en la copia

implementada del GPO en el entorno de producción, desproteja una copia del GPO del archivo.

Cuando se hayan completado los cambios, vuelva a proteger el GPO en el archivo, pruébelo y

solicite la implementación del GPO en el entorno de producción.


Etiquetado de la versión actual de GPO

Cambio de nombre de GPO o plantillas


Para realizar cambios en un Objeto de directiva de grupo (GPO) controlado, primero desproteja

una copia del GPO del archivo. Nadie podrá modificar el GPO hasta que no se vuelva a proteger,

lo que impide que se introduzcan cambios conflictivos por parte de varios administradores de

directivas de grupo. Cuando haya terminado de modificar el GPO, protéjalo en el archivo para

que se pueda revisar e implementar en el entorno de producción.

Se requiere una cuenta de usuario con la función Editor o Administrador AGPM (Control total), la

cuenta de usuario del aprobador que creó el GPO o una cuenta de usuario con los permisos




Para editar un GPO, desproteja el GPO del archivo, edítelo sin conexión y, a continuación,

protéjalo en el archivo para que se pueda revisar e implementar (o modificar por parte de otros

editores).

Desprotección de GPO del archivo para editarlos


38

Protección de GPO en el archivo




3. Haga clic con el botón secundario en el GPO que desea editar y, a continuación, haga

clic en Desproteger.

4. Escriba un comentario para que aparezca en el historial del GPO mientras está

desprotegido y, a continuación, haga clic en Aceptar.

5. Cuando la ventana Progreso indica que el progreso general se ha completado, haga clic

en Cerrar. En la ficha Controlado, el estado del GPO se identifica ahora como

Desprotegido.

1. En la ficha Controlado, haga clic con el botón secundario en el GPO que desea editar y,

a continuación, haga clic en Editar.

2. En la ventana Editor de administración de directivas de grupo, realice cambios en la

copia sin conexión del GPO.

Nota

Para deshabilitar toda la configuración de Configuración del equipo o toda la

configuración de Configuración de usuario, haga clic con el botón secundario

en el GPO en la ventana Editor de administración de directivas de grupo

y haga clic en Propiedades. Seleccione Deshabilitar los parámetros de

configuración del equipo o en Deshabilitar los parámetros de

configuración de usuario, según corresponda.

3. Cuando haya terminado de modificar el GPO, cierre la ventana Editor de

administración de directivas de grupo.

1. En la ficha Controlado:

Si no ha realizado cambios en el GPO, haga clic con el botón secundario en él y

haga clic en Deshacer desproteger y, a continuación, en Sí para confirmar.

Si ha realizado cambios en el GPO, haga clic con el botón secundario en él y haga

clic en Proteger.

2. Escriba un comentario para que aparezca en la traza de auditoría del GPO y, a

continuación, haga clic en Aceptar.


clic en Cerrar. En la ficha Controlado, el estado del GPO se identifica como Protegido.

Para desproteger GPO del archivo para editarlos

Para editar GPO sin conexión

Para proteger GPO en el archivo

39


Para desproteger y editar un GPO, de forma predeterminada debe ser el aprobador que ha

creado o controlado el GPO, editor o Administrador AGPM (Control total). Más

concretamente, debe tener los permisos Mostrar contenido y Editar configuración en lo

que respecta al GPO. Asimismo, para editar el GPO debe ser el individuo que lo ha

desprotegido.

Para proteger un GPO, de forma predeterminada, debe ser editor, aprobador o

Administrador AGPM (Control total). Más concretamente, debe tener los permisos Mostrar

contenido y Editar configuración o Implementar GPO en lo que respecta al GPO. Si no es

aprobador o administrador de AGPM (u otro administrador de directiva de grupo con permiso

Implementar GPO), debe ser el editor que ha desprotegido el GPO.

Al editar un GPO, las actualizaciones de instalación de software de directivas de grupo de un

paquete en otro GPO deben hacer referencia al GPO implementado y no a la copia

desprotegida.


Edición de GPO

Revisión de GPO

Revisión de la configuración de GPO

Revisión de enlaces de GPO

Identificación de diferencias entre GPO, versiones de GPO o plantillas

Implementación de GPO



Etiquetado de la versión actual de GPO

Es posible etiquetar la versión actual de un Objeto de directiva de grupo (GPO) para una fácil

identificación en su historial. Puede utilizar una etiqueta para identificar una versión correcta

conocida que se pueda utilizar como base para deshacer los cambios si se produce un

problema. Además, al etiquetar varios GPO con la misma etiqueta a la vez, se pueden marcar

los GPO relacionados que, de ser necesario deshacer los cambios, se deberían revertir al mismo

punto.

Para completar este procedimiento, se necesita una cuenta de usuario en Administración

avanzada de directivas de grupos (AGPM) con la función de Editor, Aprobador o Administrador

de AGPM (Control total), o con los permisos correspondientes. Revise los detalles en




Para etiquetar la versión actual de GPO en sus historiales

40


3. Haga clic en un GPO cuya versión actual desea etiquetar. Para seleccionar varios a la

vez, pulse MAYÚS y haga clic en el último GPO de un grupo contiguo de GPO o pulse

CTRL y vaya haciendo clic en cada GPO. Haga clic con el botón secundario en el GPO

y, a continuación, haga clic en Etiquetar.

4. Escriba una etiqueta y un comentario para que aparezcan en el historial de cada GPO

seleccionado y, a continuación, haga clic en Aceptar.


clic en Cerrar.


De forma predeterminada, para realizar este procedimiento debe ser un Editor, Aprobador o

Administrador de AGPM (Control total). Más concretamente, debe tener los permisos

Mostrar contenido y Editar configuración o Implementar GPO en lo que respecta al

GPO.


Edición de GPO

Cambio de nombre de GPO o plantillas

Se le puede cambiar el nombre a una plantilla o a un Objeto de directiva de grupo (GPO)

controlado.

Se requiere una cuenta de usuario con la función Editor o Administrador AGPM (Control total), la

cuenta de usuario del aprobador que creó el GPO o una cuenta de usuario con los permisos





2. En la ficha Contenido, haga clic en la ficha Controlado o Plantillas para mostrar el

elemento cuyo nombre desea cambiar.

3. Haga clic con el botón secundario en el GPO o en la plantilla cuyo nombre desea

cambiar y haga clic en Cambiar nombre.

4. Escriba un nombre nuevo para la plantilla o el GPO y un comentario y, a continuación,

haga clic en Aceptar.


clic en Cerrar. El GPO o la plantilla aparecen con el nombre nuevo en la ficha

Contenido.


Para cambiarle el nombre a un GPO o a una plantilla

41

De forma predeterminada, debe ser el aprobador que ha creado o controlado el GPO, un

editor o un Administrador AGPM (Control total) para poder llevar a cabo este procedimiento.

Más concretamente, debe tener los permisos Mostrar contenido y Editar configuración en

lo que respecta al GPO.

Al cambiar el nombre de un GPO ya implementado, el nombre se cambia de forma inmediata

en el archivo. El nombre se cambia en el entorno de producción sólo cuando se vuelve a

implementar el GPO. Hasta la nueva implementación del GPO (o hasta que se elimine la

copia de producción), se sigue usando el nombre antiguo en el entorno de producción y por

tanto no se puede usar para otro GPO. Del mismo modo, no se puede volver a cambiar el

nombre del GPO del archivo a su nombre original hasta que se haya implementado

(mediante el cambio del nombre de la copia de producción) o hasta que se haya eliminado la

copia de producción.


Edición de GPO


Antes de solicitar que un Objeto de directiva de grupo (GPO) se implemente en el entorno de

producción, debe probarlo en un entorno de prueba. Si desarrolla el GPO en un dominio de un

bosque de prueba, puede exportarlo a un archivo e importar el archivo a un dominio del bosque

de producción. Entonces, puede probar el GPO vinculándolo a una unidad organizativa (OU) que

contenga equipos y usuarios de prueba.

Exportación de un GPO a un archivo


Prueba de un GPO en una unidad organizativa independiente

También puede importar un GPO desde el entorno de producción del dominio. Para

obtener más información, vea Importación de GPO de producción.

Exportación de un GPO a un archivo

Puede exportar un Objeto de directiva de grupo (GPO) controlado a un archivo CAB de modo

que pueda copiarlo a un dominio de otro bosque e importar el GPO en Administración de

directivas de grupos (AGPM) en ese dominio. Para obtener información acerca de cómo importar

la configuración de GPO en un GPO nuevo o existente, vea Importación de GPO desde un

archivo.


avanzada de directivas de grupos (AGPM) con la función de Editor o Administrador de AGPM

(Control total), o con los permisos correspondientes. Revise los detalles en "Consideraciones


Nota

Para exportar un GPO a un archivo

42




3. Haga clic con el botón secundario en el GPO y, a continuación, haga clic en Exportar a.

4. Escriba un nombre para el archivo en el que desee exportar el GPO y haga clic en

Exportar. Si el archivo no existe, se crea. Si ya existe, se reemplaza.


De forma predeterminada, para realizar este procedimiento debe ser un Editor o


Mostrar contenido, Leer configuración y Exportar GPO para el GPO.




En Administración de directivas de grupos (AGPM), si ha exportado un Objeto de directiva de

grupo (GPO) a un archivo CAB, puede importar la configuración de directiva de ese GPO en un

GPO existente de un dominio de otro bosque. Al importar la configuración de directiva en un

GPO existente, se reemplaza toda la configuración de directiva dentro de ese GPO. Para obtener

información acerca de cómo exportar la configuración de GPO a un archivo CAB, vea

Exportación de un GPO a un archivo.








3. Desproteja el GPO de destino en el que desee importar la configuración de directiva.

4. Haga clic con el botón secundario en el GPO de destino, seleccione Importar desde y

haga clic en Archivo.


seleccionar una copia de seguridad de GPO, importe su configuración de directiva para

reemplazarla en el GPO de destino y escriba un comentario para la traza de auditoría del

GPO de destino. De forma predeterminada, el GPO de destino se protege una vez que

finaliza el asistente.


Para importar la configuración de directiva en un GPO existente

43

De forma predeterminada, para realizar este procedimiento debe ser un Editor o


Mostrar contenido, Editar configuración e Importar GPO para el dominio y debe

desproteger el GPO.

Aunque un editor no puede importar la configuración de directiva en un nuevo GPO durante

su creación, puede solicitar su creación e importar entonces la configuración de directiva en

él una vez creado.



Prueba de un GPO en una unidad organizativa independiente

Si utiliza una unidad organizativa (OU) de prueba para probar Objetos de directiva de grupo

(GPO) dentro del mismo dominio antes de implementarlos en el entorno de producción, deberá

tener los permisos necesarios para obtener acceso a la unidad organizativa de prueba. El uso de

una unidad organizativa de prueba es opcional.

1. Aunque tenga el GPO desprotegido para editarlo, en la Consola de administración de

directiva de grupo, haga clic en Objetos de Directiva de Grupo en el bosque y en el

dominio en los que está administrando los GPO.

2. Haga clic en la copia desprotegida del GPO que se va a probar. El nombre aparecerá

precedido de [AGPM]. (Si aún no está incluido, haga clic en Acción y, a continuación,

en Actualizar. Ordene los nombres por orden alfabético y los GPO [AGPM] aparecerán,

por lo general, en la parte superior de la lista).

3. Arrastre el GPO a la unidad organizativa de prueba.

4. Haga clic en Aceptar en el cuadro de diálogo en el que se le pregunta si desea crear un

vínculo al GPO en la unidad organizativa de prueba.


Cuando la prueba se ha completado, la protección del GPO elimina de forma automática el

enlace a la copia desprotegida del GPO.




Una vez modificado y protegido un Objeto de directiva de grupo (GPO), impleméntelo, con lo que

entrará en vigor en el entorno de producción.

Se requiere una cuenta de usuario con la función Editor o con los permisos adecuados en

Administración de directivas de grupos (AGPM) para llevar a cabo el procedimiento. Revise los

detalles en "Consideraciones adicionales" de este tema.

Para utilizar una unidad organizativa de prueba

44




3. Haga clic con el botón secundario en el GPO que desea implementar y, a continuación,

haga clic en Implementar.

4. A menos que sea aprobador o administrador de AGPM o tenga permisos especiales

para implementar GPO, debe enviar una solicitud de implementación. Para recibir una

copia de la solicitud, escriba su dirección de correo electrónico en el campo CC. Escriba

un comentario para que aparezca en el Historial del GPO y, a continuación, haga clic en

Enviar.


clic en Cerrar. El GPO aparece en la lista de GPO de la ficha Pendiente. Una vez el

aprobador apruebe su solicitud, el GPO se desplaza desde la ficha Pendiente a la ficha

Controlado y se implementa.


De forma predeterminada, debe ser editor para poder llevar a cabo este procedimiento. Más


que respecta al GPO.



devolverá a la ficha Controlado.




La creación de una plantilla le permite guardar la configuración de una versión determinada de

un Objeto de directiva de grupo (GPO) para utilizarla como punto de partida para la creación de

nuevos GPO. Como editor, también puede especificar cuál de las plantillas disponibles será la

plantilla predeterminada para todos los administradores de directiva de grupo que creen nuevos

GPO.

Los siguientes son algunos usos posibles de una plantilla:

Creación de una línea base de seguridad que la organización pueda reutilizar a través de los

dominios.

Creación de una plantilla para administrar la redirección de carpetas y archivos sin conexión

que la organización pueda personalizar para cada departamento.

Creación de una plantilla de red inalámbrica que la organización pueda usar para configurar

las conexiones de red inalámbrica de diferentes áreas geográficas.

Para solicitar la implementación de un GPO en el entorno de producción del dominio

45

Creación de plantillas de cumplimiento de legislación para los administradores de redes

locales.

Creación de una instantánea de solo lectura de un GPO existente.

Una plantilla es una versión estática de un GPO que no puede modificarse, aunque

puede usarse como punto de partida en la creación de nuevos GPO editables. Si se

cambia el nombre de una plantilla o se elimina, no se afecta a los GPO creados a partir

de dicha plantilla.

Creación de plantillas

Establecimiento de plantillas predeterminadas

Creación de plantillas

La creación de una plantilla le permite guardar la configuración de una versión determinada de

un Objeto de directiva de grupo (GPO) para utilizarla como punto de partida para la creación de

nuevos GPO.

Una plantilla es una versión estática y no editable de un GPO para usarse como punto

de partida en la creación de nuevos GPO editables.







2. En la ficha Contenido del panel de detalles, haga clic en la ficha Controlado o Sin

control para mostrar los GPO disponibles.

3. Haga clic con el botón secundario en el GPO a partir del que desea crear un plantilla y, a

continuación, haga clic en Guardar como plantilla.

4. Escriba un nombre para la plantilla y un comentario y, a continuación, haga clic en

Aceptar.


clic en Cerrar. La nueva plantilla aparece en la ficha Plantillas.


De forma predeterminada, debe ser editor o Administrador AGPM (Control total) para poder

llevar a cabo este procedimiento. Más concretamente, debe tener los permisos Mostrar

contenido y Crear plantilla en lo que respecta al dominio.

Nota

Nota

Para crear plantillas en función de GPO existentes

46

Si se cambia el nombre de una plantilla o se elimina, no se afecta a los GPO creados a partir

de dicha plantilla.

Dado que no se pueden modificar, las plantillas no tienen historial.




Establecimiento de plantillas predeterminadas

Como editor, puede especificar cuál de las plantillas disponibles será la plantilla predeterminada

sugerida para todos los administradores de directiva de grupo que creen nuevos Objetos de

directiva de grupo (GPO).

Un plantilla es una versión estática y no editable de un GPO para su uso como punto de

partida para la creación de nuevos GPO editables.







2. En la ficha Contenido del panel de detalles, haga clic en la ficha Plantillas para mostrar

las plantillas disponibles.

3. Haga clic con el botón secundario en la plantilla que desee establecer como

predeterminada y, a continuación, haga clic en Establecer como predeterminado.

4. Haga clic en Sí para confirmar.


clic en Cerrar. La plantilla predeterminada tiene un icono azul y el estado se identifica

como Plantillas (predeterminadas) en la ficha Plantillas.


De forma predeterminada, debe ser editor o Administrador AGPM (Control total) para poder

llevar a cabo este procedimiento. Más concretamente, debe tener los permisos Mostrar

contenido y Crear plantilla en lo que respecta al dominio.

Una vez establecida la plantilla como predeterminada, será la seleccionada inicialmente en

el cuadro de diálogo Nuevo GPO controlado cuando los administradores de directiva de

grupo creen nuevos GPO. Sin embargo, tendrán la opción de seleccionar cualquier otra

plantilla de GPO, como un <GPO vacío>, que no incluye configuración alguna.

Nota

Para establecer una plantilla predeterminada para su uso en la creación de nuevos GPO

47

Cambiar el nombre de una plantilla o eliminarla no afecta a los GPO creados a partir de

dicha plantilla.

Dado que no se pueden modificar, las plantillas no tienen historial.





Para usar Administración de directivas de grupos (AGPM) con el fin de eliminar un Objeto de

directiva de grupo (GPO) del archivo o restaurar un GPO eliminado desde la Papelera de

reciclaje, el GPO debe estar controlado por AGPM. Como editor, puede que no tenga permisos

para llevar a cabo la eliminación o restauración del GPO, pero sí tiene los permisos necesarios

para iniciar el proceso y enviarle la solicitud al aprobador.

Solicitud de eliminación de GPO

Solicitud de restauración de GPO eliminados

Solicitud de eliminación de GPO

A menos que sea aprobador o Administrador AGPM (Control total), debe solicitar la eliminación

de un Objeto de directiva de grupo (GPO).

Se requiere una cuenta de usuario con la función Editor o con los permisos adecuados en

Administración de directivas de grupos (AGPM) para llevar a cabo el procedimiento. Revise los





3. Haga clic con el botón secundario en el GPO que desea eliminar y, a continuación, haga

clic en Eliminar.

Para eliminar el GPO del archivo a la vez que no modifica la versión implementada

del GPO en el entorno de producción, haga clic en Suprimir GPO sólo del archivo.

Para eliminar el GPO tanto del archivo como del entorno de producción del dominio,

haga clic en Suprimir GPO del archivo y producción.

4. A menos que tenga un permiso especial para eliminar GPO, debe enviar una solicitud

para eliminar los GPO implementados. Para recibir una copia de la solicitud, escriba su

dirección de correo electrónico en el campo CC. Escriba un comentario para que

aparezca en la traza de auditoría del GPO y, a continuación, haga clic en Enviar.


clic en Cerrar. El GPO aparece en la lista de GPO de la ficha Pendiente. Una vez el

Para solicitar la eliminación de GPO controlados

48

aprobador apruebe su solicitud, el GPO se desplaza desde la ficha Pendiente a la ficha

Papelera de reciclaje, en la que se puede restaurar o destruir.







devolverá a la ficha Controlado.

Para eliminar un GPO sin control del entorno de producción sin controlarlo primero, en la

Consola de administración de directiva de grupo, haga clic en Bosque, en Dominios, en

<MiDominio> y, a continuación, en Objetos de Directiva de Grupo. Haga clic con el botón

secundario en el GPO sin control y, a continuación, haga clic en Eliminar.



Solicitud de restauración de GPO eliminados

A menos que sea aprobador o Administrador AGPM (Control total), debe solicitar la restauración

de un Objeto de directiva de grupo (GPO) eliminado de la Papelera de reciclaje para devolverlo

al archivo.

Para llevar a cabo el procedimiento, se requiere una cuenta de usuario con la función Editor o

con los permisos adecuados en Administración de directivas de grupos (AGPM). Revise los




2. En la ficha Contenido, haga clic en la ficha Papelera de reciclaje para mostrar los GPO

eliminados.

3. Haga clic con el botón secundario en el GPO que desea restaurar y, a continuación,

haga clic en Restaurar.

4. A menos que tenga un permiso especial para restaurar GPO, debe enviar una solicitud

para restaurar los GPO eliminados. Para recibir una copia de la solicitud, escriba su

dirección de correo electrónico en el campo CC. Escriba un comentario para que

aparezca en la traza de auditoría del GPO y, a continuación, haga clic en Enviar.


clic en Cerrar. El GPO se quita de la ficha Papelera de reciclaje y aparece en la ficha

Controlado.

Nota

Para solicitar la restauración de GPO eliminados

49

Si se ha eliminado un GPO del entorno de producción, el hecho de restaurarlo en el

archivo no lo volverá a implementar de forma automática en el entorno de

producción. Para devolver el GPO al entorno de producción, impleméntelo. Para

obtener más información, vea Solicitud de implementación de GPO.







devolverá a la ficha Papelera de reciclaje.



Realización de tareas del aprobador Un aprobador es una persona que ha sido autorizada por parte de un Administrador AGPM

(Control total) para crear, implementar y eliminar Objetos de directiva de grupo (GPO) y para

aprobar o rechazar solicitudes (normalmente de editores) para crear, implementar o eliminar

GPO.

Asegúrese de que se está conectando con el archivo central de GPO. Para obtener más

información, vea Configuración de una conexión con el servidor de AGPM.


Creación o control de GPO

Protección de GPO


Reversión a una versión anterior de GPO

Eliminación, restauración o destrucción de GPO

Antes de aprobar un GPO, un aprobador debe revisar la configuración de directiva que

contiene. Dado que la función Aprobador incluye los permisos de la función Revisor, un

aprobador también puede revisar la configuración de directiva y comparar GPO. Vea

Realización de tareas del revisor para obtener más información.


De forma predeterminada, se le proporcionan los siguientes permisos a la función Aprobador:

Mostrar contenido

Importante

Nota

50

Leer configuración

Crear GPO

Implementar GPO

Eliminar GPO

Asimismo, un aprobador tiene control total sobre los GPO que ha creado o controlado.


La responsabilidad principal de un aprobador es evaluar y aprobar o rechazar las solicitudes de

creación, implementación y eliminación de Objeto de directiva de grupo (GPO) de los editores o

revisores que no tienen permiso para llevar a cabo dichas acciones. Los informes pueden ayudar

a un aprobador a la hora de evaluar una nueva versión de un GPO.


avanzada de directivas de grupos (AGPM) con la función de Aprobador o Administrador de

AGPM (Control total), o con los permisos correspondientes. Revise los detalles en




2. En la ficha Contenido, haga clic en la ficha Pendiente para mostrar los GPO

pendientes.

3. Haga clic con el botón secundario en un GPO pendiente y, a continuación, haga clic en

Aprobar o Rechazar.

4. Si se aprueba la implementación, haga clic en Opciones avanzadas en el cuadro de

diálogo Aprobar operación pendiente para revisar los vínculos del GPO. Detenga el

puntero del mouse en un elemento del árbol para mostrar sus detalles.

De forma predeterminada, se restaurarán todos los enlaces del GPO.

Para impedir la restauración de un enlace, desactive la casilla de dicho enlace.

Para impedir la restauración de todos los enlaces, desactive la casilla Restaurar

enlaces del cuadro de diálogo Implementar GPO.

5. Haga clic en Sí o en Aceptar para confirmar la aprobación o el rechazo de la acción

pendiente. Si ha aprobado la solicitud, el GPO se desplaza a la ficha adecuada para la

acción realizada.

Nota

Si la dirección de correo electrónico de un aprobador se incluye en el campo

A dirección de correo electrónico de la ficha Delegación de dominio, el

aprobador recibirá un mensaje de correo del alias de AGPM cuando un

editor o un revisor envíen un solicitud.

Para aprobar o rechazar una solicitud pendiente

51


De forma predeterminada, para realizar este procedimiento debe ser un Aprobador o


necesarios para llevar a cabo la solicitud que está aprobando.




Para usar Administración de directivas de grupos (AGPM) y permitir el control de cambios para

un Objeto de directiva de grupo (GPO), primero debe controlarlo con AGPM. Los nuevos GPO

creados mediante la carpeta Control de cambios se controlarán de forma automática.

Control de GPO sin control


Delegación de la administración de GPO controlados


Control de GPO sin control

Para permitir el control de cambios de un Objeto de directiva de grupo (GPO), primero debe

controlarlo.







2. En la ficha Contenido del panel de detalles, haga clic en la ficha Sin control para

mostrar los GPO sin control.

3. Haga clic con el botón secundario en el GPO que desea controlar con AGPM y, a

continuación, haga clic en Control.

4. Escriba un comentario para que aparezca en el historial del GPO y, a continuación, haga

clic en Aceptar.


clic en Cerrar. El GPO se quita de la lista en la ficha Sin control y se agrega a la ficha

Controlado.


Para controlar un GPO sin control

52



Mostrar contenido y Crear GPO en lo que respecta al dominio.




Los nuevos Objetos de directiva de grupo (GPO) creados a través de la carpeta Control de

cambios se controlarán de forma automática, lo que le permitirá administrarlos.







2. Haga clic con el botón secundario en Cambiar control y, a continuación, haga clic en

Nuevo GPO controlado.

3. En el cuadro de diálogo Nuevo GPO controlado:

a. Escriba un nombre para el nuevo GPO.

b. Opcional: Escriba un comentario para el nuevo GPO de modo que aparezca en el

Historial del GPO.

c. Para implementar inmediatamente el nuevo GPO en el entorno de producción del

dominio, haga clic en Crear en vivo. Para crear el nuevo GPO sin conexión y sin

implementarlo de forma inmediata, haga clic en Crear sin conexión.

d. Seleccione la plantilla de GPO que se va a usar como punto de partida para el nuevo

GPO y haga clic en Aceptar.


clic en Cerrar. El nuevo GPO aparece en la lista de GPO de la ficha Controlado.




Mostrar contenido y Crear GPO en lo que respecta al dominio.



Para crear un nuevo GPO con el control de cambios administrado a través de AGPM

53

Delegación de la administración de GPO controlados

Un aprobador puede delegar la administración de un Objeto de directiva de grupo (GPO)

controlado creado por un aprobador. Al igual que un Administrador AGPM (Control total), el

aprobador puede delegar el acceso a dicho GPO de forma que los editores seleccionados

puedan editarlo, los revisores revisarlo y otros aprobadores aprobarlo. De forma predeterminada,

el aprobador no puede delegar acceso a los GPO creados por otro administrador de directiva de

grupo.


de usuario del aprobador que ha creado el GPO o una cuenta de usuario con los permisos





2. En la ficha Contenido del panel de detalles, haga clic en la ficha Controlado para

mostrar los GPO controlados y, a continuación, haga clic en el GPO para delegar:





Quitar.

Nota

Si un usuario o un grupo hereda acceso a todo el dominio, el botón

Quitar no aparece disponible. Es posible modificar el acceso a todo el

dominio en la ficha Delegación de dominio.





Nota


Revisor.


De forma predeterminada, debe ser el aprobador que ha creado o controlado el GPO, o un

Administrador AGPM (Control total) para poder llevar a cabo este procedimiento. Más

concretamente, debe tener el permiso Mostrar contenido en el dominio y el permiso

Modificar seguridad en el GPO.

Para delegar la administración de un GPO controlado

54




forma explícita.






Si se realizan cambios en un Objeto de directiva de grupo (GPO) controlado fuera de

Administración de directivas de grupos (AGPM), puede importar una copia del GPO desde el

entorno de producción del dominio y guardarla en el archivo para conseguir que el estado del

archivo y del entorno de producción sea coherente. (Para importar un GPO sin control,

contrólelo. Vea Control de GPO sin control).

Para completar este procedimiento, se necesita una cuenta de usuario en AGPM con la función

de Editor, Aprobador o Administrador de AGPM (Control total). Revise los detalles en





3. Haga clic con el botón secundario en el GPO y, a continuación, haga clic en Importar

desde Producción.

4. Escriba un comentario para la traza de auditoría del GPO y, a continuación, haga clic en

Aceptar.


De forma predeterminada, debe ser editor, aprobador o Administrador AGPM (Control total)

para poder llevar a cabo este procedimiento. Más concretamente, debe tener los permisos

Mostrar contenido y Editar configuración, Implementar GPO o Eliminar GPO en lo que

respecta al GPO.



Protección de GPO

Generalmente, los editores deben proteger los Objetos de directiva de grupo (GPO) que han

editado cuando hayan finalizado sus modificaciones. (Para obtener más detalles, vea Edición de

Para importar un GPO desde el entorno de producción del dominio

55

GPO sin conexión). Sin embargo, si el editor no está disponible, un aprobador también puede

proteger GPO.


avanzada de directivas de grupos (AGPM) con la función de Editor, Aprobador o Administrador

de AGPM (Control total), o con los permisos correspondientes. Revise los detalles en





Para descartar los cambios realizados por el editor, haga clic con el botón

secundario en el GPO, haga clic en Deshacer desproteger y, a continuación, haga

clic en Sí para confirmar.

Para conservar los cambios realizados por el editor, haga clic con el botón

secundario en el GPO y, a continuación, haga clic en Proteger.




clic en Cerrar. En la ficha Controlado, el estado del GPO se identifica como Protegido.


De forma predeterminada, para realizar este procedimiento debe ser un Editor, Aprobador o


Mostrar contenido y Editar configuración o Implementar GPO en lo que respecta al

GPO. Si no es aprobador o Administrador de AGPM (u otro administrador de directiva de

grupo con permiso Implementar GPO), deberá ser el editor que ha desprotegido el GPO.





Un aprobador puede implementar un Objeto de directiva de grupo (GPO) nuevo o editado en el

entorno de producción. Para obtener más información sobre la nueva implementación de una

versión anterior de un GPO, vea Reversión a una versión anterior de GPO.





Para proteger GPO desprotegidos previamente por un editor

56




3. Haga clic con el botón secundario en el GPO que desea implementar y, a continuación,

haga clic en Implementar.

4. Para revisar los enlaces del GPO, haga clic en Opciones avanzadas. Detenga el

puntero del mouse en un elemento del árbol para mostrar sus detalles.

De forma predeterminada, se restaurarán todos los vínculos del GPO.

Para impedir la restauración de un vínculo, desactive la casilla de dicho vínculo.

Para impedir la restauración de todos los enlaces, desactive la casilla Restaurar

enlaces del cuadro de diálogo Implementar GPO.

5. Haga clic en Sí. Cuando la ventana Progreso indique que se ha completado el progreso

general, haga clic en Cerrar.

Nota

Para verificar si se ha implementado la versión más reciente de un GPO, en la ficha

Controlado, haga doble clic en el GPO para mostrar su Historial. En el Historial del

GPO, la columna Estado indica si se ha implementado o no un GPO.




Mostrar contenido e Implementar GPO en lo que respecta al GPO.



Reversión a una versión anterior de GPO

Un aprobador puede deshacer cambios en un Objeto de directiva de grupo (GPO) si vuelve a

implementar una versión anterior del GPO desde su historial. La nueva implementación de una

versión anterior del GPO sobrescribe la versión del GPO que se encuentra actualmente en

producción.





Para implementar el GPO en el entorno de producción

Para implementar una versión anterior de un GPO en el entorno de producción del dominio

57




3. Haga doble clic en el GPO que se va a implementar para mostrar su Historial.

4. Haga clic con el botón secundario en la versión que se va a implementar, haga clic en

Implementar y, a continuación, haga clic en Sí.


clic en Cerrar. En la ventana Historial, haga clic en Cerrar.

Nota

A fin de verificar que la versión que se ha vuelto a implementar coincide con la

versión que se pretendía, examine el informe de diferencias entre las dos versiones.

En la ventana Historial del GPO, resalte las dos versiones y, a continuación, haga

clic con el botón secundario y seleccione Diferencias e Informe HTML o Informe

XML.




Mostrar contenido e Implementar GPO en lo que respecta al GPO.




Como aprobador, puede eliminar un Objeto de directiva de grupo (GPO) (moviéndolo a la

Papelera de reciclaje), restaurar un GPO de la Papelera de reciclaje (devolviéndolo al archivo) o

destruir un GPO (eliminándolo de forma permanente de forma que no se pueda restaurar).

Eliminación de GPO controlados

Restauración de GPO eliminados

Destrucción de GPO

Eliminación de GPO controlados

Los aprobadores pueden eliminar un Objeto de directiva de grupo (GPO) controlado, moviéndolo

a la Papelera de reciclaje.





Para eliminar GPO controlados

58




3. Haga clic con el botón secundario en el GPO que desea eliminar y, a continuación, haga

clic en Eliminar.

Para eliminar el GPO del archivo a la vez que no modifica la versión implementada

del GPO en el entorno de producción, haga clic en Suprimir GPO sólo del archivo.

Para eliminar el GPO tanto del archivo como del entorno de producción del dominio,

haga clic en Suprimir GPO del archivo y producción.




clic en Cerrar. El GPO se quita de la ficha Controlado y aparece en la ficha Papelera

de reciclaje, donde se puede restaurar o destruir. Si se elimina el GPO sólo del archivo,

también aparece en la ficha Sin control.




Mostrar contenido y Eliminar GPO en lo que respecta al GPO.

Para eliminar un GPO sin control del entorno de producción sin controlarlo primero, en la

Consola de administración de directiva de grupo, haga clic en Bosque, en Dominios, en

<MyDomain> y, a continuación, en Objetos de Directiva de Grupo. Haga clic con el botón

secundario en el GPO sin control y, a continuación, haga clic en Eliminar.



Restauración de GPO eliminados

Los aprobadores pueden restaurar un Objeto de directiva de grupo (GPO) eliminado de la

Papelera de reciclaje a través de su devolución al archivo.








eliminados.

Para restaurar un GPO eliminado

59

3. Haga clic con el botón secundario en el GPO que desea restaurar y, a continuación,

haga clic en Restaurar.

4. Escriba un comentario para que aparezca en el historial del GPO y, a continuación, haga

clic en Aceptar.


clic en Cerrar. El GPO se quita de la ficha Papelera de reciclaje y aparece en la ficha

Controlado.

Nota

Si se ha eliminado un GPO del entorno de producción, el hecho de restaurarlo en el

archivo no lo volverá a implementar de forma automática en el entorno de

producción. Para devolver el GPO al entorno de producción, impleméntelo. Para

obtener más información, consulte Implementación de GPO.




Mostrar contenido, Implementar GPO o Eliminar GPO en lo que respecta al GPO.



Destrucción de GPO

Los aprobadores pueden destruir un Objeto de directiva de grupo (GPO), quitándolo de la

papelera de reciclaje y eliminándolo permanentemente de forma que no pueda volver a

restaurarse.








eliminados.

3. Haga clic con el botón secundario en el GPO que desea destruir y, a continuación, haga

clic en Destruir.

4. Haga clic en Sí para confirmar que desea eliminar de forma permanente el GPO

seleccionado y todas las copias de seguridad del archivo.


clic en Cerrar. El GPO se quita de la ficha Papelera de reciclaje y se elimina de forma

Para eliminar de forma permanente un GPO de forma que no pueda volver a restaurarse

60

permanente.




Mostrar contenido y Eliminar GPO en lo que respecta al GPO.



Realización de tareas del revisor Un Revisor es una persona autorizada por un Administrador AGPM (Control total) para revisar o

auditar Objetos de directiva de grupo (GPO). Una persona con la función Revisor únicamente no

puede modificar GPO. Sin embargo, el resto de funciones incluyen la función Revisor.

Configuración de una conexión con el servidor de AGPM





De forma predeterminada, se le proporcionan los siguientes permisos a la función Revisor:

Mostrar contenido

Leer configuración

Configuración de una conexión con el servidor de AGPM

Para asegurarse de que está conectado con el archivo central correcto, revise la configuración

de la conexión con el servidor de AGPM. Si un Administrador AGPM (Control total) no ha

configurado la conexión con un servidor de AGPM por usted, debe configurarla manualmente.



2. En el panel de detalles, haga clic en la ficha Servidor AGPM:

Si las opciones de la ficha Servidor AGPM no están disponibles, es porque el

administrador de AGPM las ha configurado de forma centralizada.

Si las opciones de la ficha Servidor AGPM sí están disponibles, escriba el nombre

del equipo completo del servidor AGPM (por ejemplo, server.contoso.com) y el

puerto de escucha del servicio AGPM (de forma predeterminada, el puerto 4600).

Haga clic en Aplicar y, a continuación, haga clic en Sí para confirmar.


Para seleccionar un servidor AGPM

61

Los servidores AGPM seleccionados determinan qué GPO se muestran en la ficha

Contenido y en qué ubicación se aplica la configuración de la ficha Delegación de

dominio. Si no se administra de forma central a través de la plantilla administrativa, cada

administrador de directiva de grupo debe configurar esta opción para que apunte al servidor

AGPM del dominio.




Se pueden generar informes basados en HTML y en XML para revisar la configuración en

cualquier versión de un Objeto de directiva de grupo (GPO).

Para completar este procedimiento, se necesita una cuenta de usuario con la función Revisor,

Editor, Aprobador o Administrador de AGPM (Control total) en Administración avanzada de

directivas de grupos (AGPM). Revise los detalles en "Consideraciones adicionales" de este tema.



2. En la ficha Contenido del panel de detalles, haga clic en una ficha para mostrar los

GPO.

3. Haga doble clic en el GPO para mostrar su historial.

4. Haga clic con el botón secundario en la versión de GPO cuya configuración desea

revisar, haga clic en Configuración y, a continuación, haga clic en Informe HTML o

Informe XML para mostrar un resumen de la configuración del GPO.


De forma predeterminada, para realizar este procedimiento debe ser un Revisor, Editor,

Aprobador o Administrador de AGPM (Control total). Específicamente, es necesario tener los

permisos para Mostrar contenidos y Leer configuración del GPO. Asimismo, debe tener el

permiso de dominio Mostrar contenidos para mostrar la lista de GPO.




Puede mostrar un diagrama donde se indique si el Objeto de directiva de grupo (GPO) o los

GPO seleccionados están vinculados a unidades organizativas. Los diagramas de enlaces de

GPO se actualizan cada vez que se controla, importa o protege un GPO.




Para revisar la configuración en cualquier versión de un GPO

62


Para uno o más GPO

Para una o más versiones de un GPO



2. En la ficha Contenido del panel de detalles, haga clic en la ficha Controlado Pendiente

o Papelera de reciclaje para mostrar los GPO.

3. Seleccione uno o más GPO cuyos enlaces desee mostrar, haga clic con el botón

secundario en un GPO seleccionado, haga clic en Configuración y, a continuación,

haga clic en Enlaces de GPO para mostrar un diagrama de dominios y unidades

organizativas con enlaces a los GPO(s) seleccionado(s).



2. En la ficha Contenido del panel de detalles, haga clic en la ficha Controlado o Papelera

de reciclaje para mostrar los GPO.


4. Haga clic con el botón secundario en la versión de GPO cuya configuración desea

revisar, haga clic en Configuración y, a continuación, haga clic en Informe HTML o

Informe XML para mostrar un resumen de la configuración del GPO.








Identificación de diferencias entre GPO, versiones de GPO o

plantillas

Es posible generar informes de diferencias basados en HTML o en XML a fin de analizar las

diferencias entre Objetos de directiva de grupo (GPO), plantillas o distintas versiones de un

GPO.




Para mostrar enlaces de GPO de uno o más GPO

Para mostrar enlaces de GPO de una o más versiones de un GPO

63


Entre dos GPO o plantillas

Entre un GPO y una plantilla

Entre dos versiones de un GPO

Entre una versión de GPO y una plantilla



2. En la ficha Contenido del panel de detalles, haga clic en una ficha para mostrar los GPO

(o las plantillas, si lo que se compara son dos plantillas).

3. Seleccione los dos GPO o plantillas.

4. Haga clic con el botón secundario en uno de los GPO o plantillas, haga clic en

Diferencias y, a continuación, en Informe HTML o Informe XML para mostrar un

informe de diferencias donde se resuma la configuración de los GPO o plantillas.





3. Haga clic con el botón secundario en el GPO y, a continuación, haga clic en Diferencias

y en Plantilla.

4. Seleccione la plantilla y el tipo de informe y, a continuación, haga clic en Aceptar para

mostrar un informe de diferencias donde se resuma la configuración del GPO y la

plantilla.





3. Haga doble clic en el GPO para mostrar su historial y, a continuación, resalte las

versiones que se van a comparar.

4. Haga clic con el botón secundario en una de las versiones, haga clic en Diferencias y, a

continuación, en Informe HTML o en Informe XML para mostrar un informe de

diferencias donde se resuma la configuración de los GPO.

Para identificar las diferencias entre dos GPO o plantillas

Para identificar diferencias entre un GPO y una plantilla

Para identificar diferencias entre dos versiones de un GPO

Para identificar diferencias entre una versión de GPO y una plantilla

64






4. Haga clic con el botón secundario en la versión de GPO en cuestión y haga clic en

Diferencias y en Plantilla.

5. Seleccione la plantilla y el tipo de informe y, a continuación, haga clic en Aceptar para

mostrar un informe de diferencias donde se resuma la configuración de la versión de

GPO y la plantilla.

Clave de los informes de diferencias

Símbolo Significado Color

Ninguno Existe un elemento con una

configuración idéntica en ambos

GPO

Varía con el nivel

[#] Existe un mismo elemento en

ambos GPO, aunque con

distinta configuración

Azul

[-] Existe un elemento sólo en el

primer GPO

Rojo

[+] Existe un elemento sólo en el

segundo GPO

Verde

En el caso de elementos con distinta configuración, ésta se identifica al ampliar el elemento.

El valor del atributo en cada GPO se muestra en el mismo orden en que aparece el GPO en

el informe.

Algunos cambios en la configuración pueden provocar que un elemento se incluya en un

informe como dos elementos diferentes (uno presente solo en el primer GPO y uno presente

solo en el segundo) en lugar de incluirlo como un elemento que ha cambiado.








65

Solución de problemas de AGPM En esta sección se enumeran algunos de los problemas más comunes que se pueden producir al

usar Administración de directivas de grupos (AGPM) para administrar Objetos de directiva de

grupo (GPO). Para diagnosticar problemas que no se enumeran aquí, puede resultar de utilidad

para el Administrador AGPM (Control total) usar las funciones de registro y seguimiento. Para

obtener más información, vea Configuración de registro y seguimiento.

Para obtener más información acerca de cómo revertir a una versión anterior de un GPO si

hay problemas, vea Reversión a una versión anterior de GPO.

Para obtener más información acerca de cómo recuperarse de un desastre restaurando el

archivo completo a partir de una copia de seguridad, vea Restauración del archivo a partir de

una copia de seguridad.

¿De qué problema se trata?

No puedo obtener acceso a un archivo

El estado de GPO varía para los distintos administradores de directivas de grupo.

No puedo modificar la conexión con el servidor de AGPM

No puedo cambiar la plantilla predeterminada o ver, crear, editar, cambiar el nombre,

implementar o eliminar GPO

No puedo utilizar un nombre de GPO concreto

No recibo notificaciones por correo electrónico de AGPM

No puedo utilizar el puerto 4600 para el servicio AGPM

El servicio AGPM no se inicia

Error de la Directiva de grupo de Instalación de software al instalar el software

Se produjo un error cuando restauré el archivo en un nuevo servidor AGPM

No puedo obtener acceso a un archivo

Causa: no ha seleccionado el servidor y el puerto correctos para el archivo.

Solución:

Si es un Administrador de AGPM: consulte Configuración de las conexiones con el

servidor de AGPM.

Si no es un Administrador de AGPM: solicite los detalles de conexión para el servidor

AGPM a un Administrador de AGPM. consulte Configuración de una conexión con el

servidor de AGPM.

Causa: el servicio AGPM no se ejecuta.

Solución:

Si es un Administrador de AGPM: inicie el servicio AGPM. Para obtener más

información, consulte Inicio o detención del servicio AGPM.

Notas

66

Si no es un Administrador de AGPM: póngase en contacto con un Administrador de

AGPM para obtener ayuda.

El estado de GPO varía para los distintos administradores de directivas de grupo.

Causa: distintos administradores de directivas de grupo han seleccionado servidores AGPM

diferentes para el mismo archivo.

Solución:

Si es un Administrador de AGPM: consulte Configuración de las conexiones con el

servidor de AGPM.

Si no es un Administrador de AGPM: solicite los detalles de conexión para el servidor

AGPM a un Administrador de AGPM. consulte Configuración de una conexión con el

servidor de AGPM.

No puedo modificar la conexión con el servidor de AGPM

Causa: si la configuración de la ficha Servidor AGPM no está disponible, el servidor AGPM

se ha configurado de forma centralizada mediante una plantilla administrativa.

Solución:

Si es un Administrador de AGPM: si la configuración de la ficha Servidor AGPM no está

disponible, vea Configuración de las conexiones con el servidor de AGPM.

Si no es un Administrador de AGPM: si la configuración de la ficha Servidor AGPM no

está disponible, no es necesario modificar el servidor AGPM.

No puedo cambiar la plantilla predeterminada o ver, crear, editar, cambiar el nombre, implementar o eliminar GPO

Causa: no se le ha asignado una función con los permisos que se necesitan para realizar las

tareas.

Solución:

Si es un Administrador de AGPM: Vea Delegación de acceso de nivel de dominio al

archivo y Delegación de acceso a GPO individuales en el archivo. Los permisos de

AGPM se mostrarán en cascada desde el dominio a todos los GPO que se encuentren

actualmente en el archivo. Para obtener más detalles sobre las funciones que pueden

realizar una tarea y los permisos necesarios para realizarla, consulte la ayuda de esa

tarea.

Si no es un Administrador de AGPM y es necesario que tenga funciones o permisos

adicionales: póngase en contacto con un Administrador de AGPM para obtener ayuda.

Tenga en cuenta que si es editor, puede empezar el proceso de creación de un GPO,

implementación de un GPO o eliminación de un GPO en el entorno de producción del

dominio, pero un aprobador o Administrador de AGPM deberán aprobar su solicitud.

No puedo utilizar un nombre de GPO concreto

Causa: el nombre de GPO ya se está utilizando o no tiene permiso para incluir el GPO.

Solución:

67

si el nombre de GPO aparece en la ficha Controlado, Sin control o Pendiente, elija

otro. Si se cambia el nombre de un GPO que se ha implementado, pero que aún no se

ha vuelto a implementar, este se mostrará con el nombre anterior en el entorno de

producción del dominio. Por lo tanto, el nombre anterior aún se usa. Vuelva a

implementar el GPO para actualizar su nombre en el entorno de producción y libere el

nombre para que otro GPO pueda utilizarlo.

Si el nombre de GPO no aparece en la ficha Controlado, Sin control o Pendiente, es

posible que no tenga permiso para incluir el GPO. Para solicitar el permiso, póngase en

contacto con un Administrador de AGPM.

No recibo notificaciones por correo electrónico de AGPM

Causa: no se ha proporcionado un servidor de correo electrónico SMTP y una dirección de

correo electrónico válidos o no se ha realizado ninguna acción que genere una notificación

por correo electrónico.

Solución:

Si es Administrador de AGPM: para las notificaciones por correo electrónico sobre las

acciones pendientes que AGPM debe enviar, un Administrador de AGPM debe

proporcionar un servidor de correo electrónico SMTP y direcciones de correo electrónico

válidos para los aprobadores en la ficha Delegación de dominio. Para obtener más

información, consulte Configuración de notificación por correo electrónico.

Las notificaciones por correo electrónico se generan únicamente cuando un editor,

revisor u otro administrador de directiva de grupo, que no tiene el permiso necesario

para crear, implementar o eliminar un GPO, envía una solicitud para que se produzca

una de esas acciones. No se produce notificación automática alguna de aprobación o

rechazo de una solicitud.

No puedo utilizar el puerto 4600 para el servicio AGPM

Causa: de forma predeterminada, el puerto en el que el servicio AGPM realiza la escucha es

el puerto 4600.

Solución: si el puerto 4600 no está disponible para el servicio AGPM, modifique la

configuración del puerto en el servidor AGPM para utilizar otro puerto y, a continuación,

actualice el puerto en la conexión con el servidor de AGPM para los clientes AGPM. Para

obtener más información, consulte Modificación del servicio AGPM.

El servicio AGPM no se inicia

Causa: ha modificado la configuración del servicio AGPM en el sistema operativo en

Herramientas administrativas y Servicios.

Solución: modifique la configuración de Advanced Group Policy Management de

Microsoft: servidor de Programas y características de Panel de control. Para obtener

más información, consulte Modificación del servicio AGPM.

Error de la instalación de software de directivas de grupo al instalar el software

68

Causa: AGPM conserva la integridad de los paquetes de instalación de software de

directivas de grupo. Aunque los GPO se editan sin conexión, se conservan los vínculos entre

paquetes, así como la información de cliente en caché. Está diseñado así.

Solución: al editar un GPO sin conexión con AGPM, configure las actualizaciones de la

Directiva de grupo de Instalación de software de un paquete en otro GPO para hacer

referencia al GPO implementado, no a la copia desprotegida. El editor debe tener permiso de

lectura para el GPO implementado.

Se produjo un error cuando restauré el archivo en un nuevo servidor AGPM

Causa: por motivos de seguridad, el cifrado que protege la contraseña que se ha introducido

en la ficha Delegación de dominio hace que se produzca un error en la contraseña si se

desplaza el archivo a otro equipo.

Solución: vuelva a introducir y confirmar la contraseña en la ficha Delegación de dominio.

Para obtener más información, consulte Configuración de notificación por correo electrónico.

Interfaz de usuario: Advanced Group Policy Management Administración de directivas de grupos (AGPM) agrega una carpeta Control de cambios a cada

dominio que se muestra en la Consola de administración de directiva de grupo (GPMC). En

un entorno en el que se administran varios dominios con GPMC, cada dominio se incluye en la

carpeta Dominios en el árbol de consola. Cada dominio tiene una carpeta Control de cambios

en ella y existe un archivo de Objetos de directiva de grupo (GPO) por dominio.

Dentro del panel de detalles existen cuatro fichas principales que proporcionan acceso tanto a la

configuración a nivel de GPO, como a la configuración a nivel de dominio y a los comandos para

AGPM. Asimismo, existe una configuración de la plantilla administrativa específica para AGPM.

Ficha Contenido: los comandos y la configuración de GPO y la delegación a nivel de GPO

Ficha Delegación de dominio: la configuración de la notificación por correo electrónico para

AGPM y la delegación a nivel de dominio

Ficha Servidor AGPM: configuración de la conexión de archivo a nivel de dominio

Ficha Delegación de producción: delegación del entorno de producción

Carpeta Plantillas administrativas: configuración central de registro y seguimiento,

ubicaciones de archivos y visibilidad de las funciones

Ficha Contenido

La ficha Contenido del panel Control de cambios permite el acceso a Objetos de directiva de

grupo (GPO) y a un menú de acceso directo para administrar GPO. Las opciones que aparecen

al hacer clic con el botón secundario en los elementos dependen de su función, sus permisos y

su nivel de posesión del GPO que se está administrando. Además, estos menús de acceso

directo pueden ser distintos en función del estado del GPO que se está administrando.

Las siguientes fichas secundarias filtran la lista de los GPO mostrados:

69

Controlado: GPO administrados por Administración de directivas de grupos (AGPM)

Sin control: GPO no administrados por AGPM

Pendiente: cambios de GPO en espera de aprobación por parte de un aprobador

Plantillas: plantillas de GPO para la creación de nuevos GPO y para la comparación con

GPO existentes

Papelera de reciclaje: GPO eliminados

La ficha Contenido y sus fichas secundarias proporcionan detalles sobre cada GPO y acceso al

historial de cada uno:

Configuración de la ficha Contenido

Ventana Historial

Al hacer clic con el botón secundario en los GPO de cualquier ficha secundaria, aparece un

menú de acceso directo único de dicha ficha, donde se proporcionan comandos de

administración de los GPO:

Comandos de GPO controlados

Comandos de GPO sin control

Comandos de GPO pendientes

Comandos de plantillas

Comandos de la papelera de reciclaje



Configuración de la ficha Contenido

Cada ficha secundaria de la ficha Contenido tiene dos secciones: Objetos de Directiva de

Grupo y Grupos y usuarios.

Sección Objetos de Directiva de Grupo

La sección Objetos de Directiva de Grupo muestra una lista filtrada de Objetos de directiva de

grupo (GPO) e identifica los siguientes atributos para cada GPO. Puede usar el cuadro Buscar

para buscar GPO con atributos específicos. Para obtener más información, vea Búsqueda y

filtrado de la lista de GPO.

Atributo de GPO Descripción

Nombre Nombre del GPO.

Estado Estado del GPO seleccionado

Cambiado por El editor que ha protegido el GPO seleccionado

o el aprobador que lo ha implementado.

Fecha de cambio En el caso de un GPO controlado, la fecha más

70


reciente en que se protegió tras haber sido

modificado o desprotegido para poder

modificarse. En el caso de un GPO sin control,

el fecha en que se modificó por última vez.

Comentario Comentario introducido por la persona que ha

protegido o implementado un GPO en el

momento de su modificación. Resulta útil para

identificar los detalles de la versión en caso de

que sea necesario revertir a una versión

anterior.

Versión de equipo Versión generada automáticamente de la parte

Configuración del equipo del GPO.

Versión de usuario Versión generada automáticamente de la parte

Configuración del usuario del GPO.

Estado de GPO La configuración del equipo y la del usuario se

pueden administrar por separado. El estado de

GPO indica qué partes del GPO están

habilitadas.

Filtro WMI Permite mostrar los filtros WMI que se aplican

a este GPO. Los filtros WMI se administran en

la carpeta Filtros WMI del dominio, en el árbol

de consola del GPMC.

Sección Grupos y usuarios

Al seleccionar un GPO, la sección Grupos y usuarios muestra una lista de los grupos y

usuarios con acceso a dicho GPO. Aparecen la herencia y los permisos otorgados de cada grupo

o usuario. Un Administrador de AGPM puede configurar permisos mediante las funciones de

AGPM estándar (Editor, Aprobador, Revisor y Administrador de AGPM) o mediante una

combinación personalizada de permisos.

Botón Efecto

Agregar Permite agregar una nueva entrada al

descriptor de seguridad. Se puede agregar

cualquier usuario o grupo de Active Directory.

Quitar Permite quitar la entrada seleccionada de la

lista de control de acceso.

71

Botón Efecto

Propiedades Permite ver las propiedades del objeto

seleccionado. La página de propiedades es la

misma que la que se muestra para un objeto

de Equipos y usuarios de Active Directory.

Opciones avanzadas Abra el Editor de la lista de control de

acceso.


Para obtener más información sobre las funciones y los permisos relacionados con tareas

específicas, consulte las tareas en Realización de tareas del administrador de AGPM,

Realización de tareas del editor, Realización de tareas del aprobador y Realización de tareas

del revisor.


Ficha Contenido

Ventana Historial

El historial de un Objeto de directiva de grupo (GPO) se puede mostrar al hacer doble clic en un

GPO o al hacer clic con el botón secundario en un GPO y, a continuación, hacer clic en

Historial. También aparece en la Consola de administración de directivas de grupo (GPMC)

como ficha para cada GPO.

El historial proporciona un registro de los eventos durante la vigencia del GPO seleccionado.

Desde la ventana Historial, puede obtener un informe de la configuración de una la versión del

GPO, comparar varias versiones de un GPO o revertir a una versión anterior de un GPO.

Filtrado de eventos en la ventana Historial

Las fichas de la ventana Historial filtran los estados del historial del GPO.

Fichas Filtrado

Todos los estados Permite mostrar todos los estados del historial

del GPO.

Versiones únicas Permite mostrar sólo las versiones únicas del

GPO protegido en el archivo. La versión

implementada en el entorno de producción, los

accesos directos a versiones únicas y los

estados informativos se omiten de esta lista.

Información de evento

Se proporciona información para cada estado del historial del GPO.

72


Fecha de cambio Marca de tiempo del momento en el que se

realizó la acción en la columna Estado.

Estado Estado del historial del GPO.

Cambiado por Persona que ha protegido o implementado el

GPO.

Comentario Comentario escrito por la persona que protegió

o implementó un GPO en el momento en que la

versión se cambió; resulta útil para identificar

las particularidades de la versión en caso de

tener que revertir a una versión anterior.

Eliminable Si se puede eliminar o no esta versión del GPO

si el número de versiones únicas de cada GPO

que se retiene en el archivo está limitado.

Nota

Puede cambiar si una versión de un

GPO se puede eliminar haciendo clic

con el botón secundario en el GPO y, a

continuación, haciendo clic en No

permitir eliminación o en Permitir

eliminación.

Versión de equipo Versión generada automáticamente de la parte

Configuración del equipo del GPO.

Versión de usuario Versión generada automáticamente de la parte

Configuración del usuario del GPO.

Estado de GPO La configuración del equipo y la del usuario se

pueden administrar por separado. Este estado

muestra qué partes del GPO están habilitadas.

Información del GPO de origen Para un GPO importado desde otro bosque, el

nombre original del GPO, dominio, usuario y

fecha asociados al último cambio.

Informes

Los botones Configuración y Diferencias muestran informes sobre la configuración de GPO

para las versiones seleccionadas del GPO. Además, al hacer clic con el botón secundario en una

73

versión o versiones del GPO, se proporciona la opción de mostrar también los informes basados

en XML.

Botón Efecto

Configuración Permite generar un informe basado en HTML

donde se muestra la configuración dentro de la

versión seleccionada del GPO.

Diferencias Permite generar un informe basado en HTML

donde se compara la configuración dentro de

varias versiones seleccionadas del GPO.

Clave de los informes de diferencias

Símbolo Significado Color

Ninguno Existe un elemento con una

configuración idéntica en ambos

GPO

Varía con el nivel

[#] Existe un mismo elemento en

ambos GPO, aunque con

distinta configuración

Azul

[-] Existe un elemento sólo en el

primer GPO

Rojo

[+] Existe un elemento sólo en el

segundo GPO

Verde

En el caso de elementos con distinta configuración, ésta se identifica al ampliar el elemento.

El valor del atributo en cada GPO se muestra en el mismo orden en que aparece el GPO en

el informe.

Algunos cambios en la configuración pueden provocar que se indique que un elemento son

dos diferentes (uno presente solo en el primer GPO y el otro solo en el segundo) en lugar de

indicar que ha cambiado.


Ficha Contenido

Comandos de GPO controlados

La ficha Controlado:

Muestra una lista de Objetos de directiva de grupo (GPO) administrados por Administración

de directivas de grupos (AGPM).

74

Proporciona un menú de acceso directo con comandos para la administración de GPO y

para mostrar el historial y los informes de GPO.

Muestra una lista de los grupos y usuarios que tienen permiso de acceso a un GPO

seleccionado.

Al hacer clic con el botón secundario en la lista Objetos de Directiva de Grupo en esta ficha, se

muestra un menú contextual. Este menú incluye las opciones que sean aplicables de entre las

siguientes.

Control e historial

Comando Efecto

Nuevo GPO controlado Permite crear un GPO nuevo con control de

cambios administrado a través de AGPM e

implementarlo en el entorno de producción del

dominio. Si no tiene permiso para crear un

GPO, se le preguntará si desea enviar una

solicitud. (Esta opción se muestra si no se

selecciona ningún GPO al hacer clic con el

botón secundario en la lista Objetos de

Directiva de Grupo).

Historial Permite abrir una ventana con una lista de

todas las versiones del GPO seleccionado que

se ha guardado en el archivo. Desde el

historial, puede obtener un informe de la

configuración de un GPO, comparar dos

versiones de un GPO, comparar un GPO con

una plantilla o revertirlo a una versión anterior

de un GPO.

Informes

Comando Efecto

Configuración Permite generar un informe basado en HTML o

en XML donde se muestra la configuración del

GPO seleccionado o mostrar los vínculos a los

GPO seleccionados desde unidades

organizativas a partir del momento en que los

GPO se controlaron, importaron o protegieron

por última vez.

Diferencias Permite generar un informe basado en XML o

75

Comando Efecto

en HTML donde se compara la configuración

dentro de los dos GPO seleccionados o dentro

del GPO seleccionado y una plantilla.

Edición

Comando Efecto

Editar Permite abrir la ventana Editor de

administración de directivas de grupo para

realizar cambios en el GPO seleccionado.

Desproteger Permite obtener una copia del GPO

seleccionado del archivo para editarlo sin

conexión y prohibir que los demás lo editen

hasta que lo vuelva a proteger en el archivo.

Un Administrador AGPM (Control total) puede

invalidar la opción Desproteger.

Proteger Permite proteger la versión editada del GPO

seleccionado en el archivo para que otros

Editores autorizados puedan realizar cambios o

para que un aprobador pueda implementarlo

en el entorno de producción del dominio.

Deshacer desproteger Permite devolver un GPO desprotegido al

archivo sin cambios.

Administración de versiones

Comando Efecto

Importar desde producción Para el GPO seleccionado, permite copiar la

versión del entorno de producción del dominio

en el archivo.

Importar desde archivo Permite reemplazar la configuración de

directiva del GPO desprotegido seleccionado

con la de un archivo de copia de seguridad de

GPO.

Eliminar Permite desplazar el GPO seleccionado a la

Papelera de reciclaje e indicar si se desea

dejar la versión implementada (en el caso de

76

Comando Efecto

que existiera) en producción o si desea

eliminarla, así como la versión del archivo. Si

no tiene permiso para eliminar un GPO, se le

preguntará si desea enviar una solicitud.

Implementar Permite desplazar el GPO seleccionado que se

ha protegido en el archivo al entorno de

producción del dominio. Esta acción lo activa

en la red y sobrescribe la versión de GPO

anteriormente activa, en el caso de que exista.

Si no tiene permiso para implementar un GPO,

se le preguntará si desea enviar una solicitud.

Exportar a Se guarda el GPO seleccionado en un archivo

de copia de seguridad para que se pueda

copiar en otro dominio.

Etiqueta Permite marcar el GPO seleccionado con una

etiqueta descriptiva (como "Correcto conocido")

y un comentario para mantener un registro. Las

etiquetas aparecen en la columna Estado y los

comentarios en la columna Comentario de la

ventana Historial. Sirven para ayudar a

identificar las versiones anteriores de un GPO

de modo que se pueda revertir a una versión

anterior si se produce algún problema.

Cambiar nombre Permite cambiar el nombre del GPO

seleccionado. Si el GPO ya se ha

implementado, el nombre se actualizará en el

entorno de producción del dominio cuando se

vuelva a implementar el GPO.

Guardar como plantilla Permite crear una nueva plantilla en función de

la configuración del GPO seleccionado.

Varios

Comando Efecto

Actualizar Permite actualizar la pantalla de la Consola de

administración de directiva de grupo (GPMC)

para que refleje los cambios. Algunos cambios

no serán visibles hasta que se actualice la

77

Comando Efecto

pantalla.

Ayuda Permite mostrar la ayuda de AGPM.


Ficha Contenido




Comandos de GPO sin control

La ficha Sin control:

Muestra una lista de Objetos de directiva de grupo (GPO) no administrados por

Administración de directivas de grupos (AGPM).

Proporciona un menú de acceso directo con comandos para que AGPM pueda administrar

los GPO sin control y para mostrar el historial y los informes de GPO.


seleccionado.


muestra un menú de acceso directo que incluye cualquiera de las siguientes opciones (si están

disponibles).

Control e historial

Comando Efecto

Historial Permite abrir una ventana con un listado de







de un GPO.

Control Permite someter el GPO sin control

seleccionado a la administración de control de

cambios de AGPM. Si no tiene permiso para

controlar un GPO, se le preguntará si desea

enviar una solicitud.

78

Comando Efecto

Guardar como plantilla Permite crear una nueva plantilla en función de

la configuración del GPO seleccionado.

Informes

Comando Efecto

Configuración Permite generar un informe basado en XML o

en HTML donde se muestra la configuración

dentro del GPO seleccionado.





Varios

Comando Efecto





pantalla.



Ficha Contenido




Comandos de GPO pendientes

La ficha Pendiente:

Muestra una lista de Objetos de directiva de grupo (GPO) con solicitudes pendientes para las

acciones de administración de GPO (como la creación, el control, la implementación y la

eliminación).

79

Proporciona un menú de acceso directo con comandos para responder a las solicitudes

pendientes y para mostrar el historial y los informes de GPO.


seleccionado.


muestra un menú contextual que incluye cualquiera de las siguientes opciones (si están

disponibles).

Control e historial

Comando Efecto

Historial Permite abrir una ventana con una lista de







de un GPO.

Retirar Permite retirar la solicitud pendiente para crear,

controlar o eliminar el GPO seleccionado antes

de aprobar la solicitud.

Aprobar Permite completar una solicitud pendiente de

un editor para crear, controlar o eliminar el

GPO seleccionado.

Rechazar Permite denegar una solicitud pendiente de un

editor para crear, controlar o eliminar el GPO

seleccionado.

Informes

Comando Efecto



GPO seleccionado o mostrar los enlaces a los



GPO se controlan, importan o protegen por

última vez.

80

Comando Efecto





Varios

Comando Efecto





pantalla.



Ficha Contenido



Comandos de plantillas

Ficha Plantillas:

Muestra una lista de las plantillas disponibles que se pueden usar para crear nuevos Objetos

de directiva de grupo (GPO).

Proporciona un menú de acceso directo con comandos para la creación de GPO en función

de una plantilla seleccionada, la administración de plantillas y la visualización de informes

para éstas.

Muestra una lista de los grupos y usuarios que tienen permiso de acceso a una plantilla

seleccionada.

Dado que no se pueden modificar, las plantillas no tienen historial. Sin embargo, como cualquier

versión de GPO, la configuración de una plantilla se puede mostrar con un informe de

configuración o en comparación con otro GPO con un informe de diferencias.

Una plantilla es una versión estática y no editable de un GPO para su uso como punto

de partida para la creación de nuevos GPO editables.

Nota

81



disponibles).

Control

Comando Efecto

Nuevo GPO controlado Permite crear un nuevo GPO en función de la

plantilla seleccionada. Se ofrece la opción de

implementar el nuevo GPO en el entorno de

producción del dominio. Si no tiene permiso

para crear un GPO, se le preguntará si desea

enviar una solicitud. (Esta opción se muestra si

no se selecciona ningún GPO al hacer clic con

el botón secundario en la lista Objetos de

Directiva de Grupo.)

Informes

Comando Efecto

Configuración Permite generar un informe basado en XML o

en HTML donde se muestra la configuración

dentro del GPO seleccionado.



dentro de las dos plantillas de GPO

seleccionadas.

Administración de plantillas

Comando Efecto

Establecer como predeterminado Establezca la plantilla seleccionada como

predeterminada para que se use

automáticamente al crear un nuevo GPO.

Eliminar Mover el elemento seleccionado a la Papelera

de reciclaje. Si no tiene permiso para eliminar

un GPO, se le preguntará si desea enviar una

solicitud.

Cambiar nombre Cambie el nombre de la plantilla seleccionada.

82

Varios

Comando Efecto

Actualizar Actualice la pantalla de la Consola de

administración de directiva de grupo para que

refleje los cambios. Algunos cambios no serán

visibles hasta que se actualice la pantalla.

Help Permite mostrar la ayuda de Administración de

directivas de grupos (AGPM).


Ficha Contenido



Comandos de la papelera de reciclaje

Ficha Papelera de reciclaje:

Muestra una lista de Objetos de directiva de grupo (GPO) eliminados del archivo.

Proporciona un menú de acceso directo con comandos para la administración de GPO y

para mostrar informes de GPO.


seleccionado.



disponibles):

Informes

Comando Efecto



GPO seleccionado o mostrar los enlaces a los



GPO se controlaron, importaron o protegieron

por última vez.



83

Comando Efecto



Administración de versiones

Comando Efecto

Destruir Permite quitar el GPO seleccionado de la

Papelera de reciclaje de forma que ya no se

pueda restaurar nunca más.

Restaurar Permite desplazar el GPO seleccionado desde

la Papelera de reciclaje a la ficha Controlado.

Este proceso no restaura el GPO en el entorno

de producción.

Varios

Comando Efecto

Actualizar Actualice la pantalla de la Consola de




pantalla.

Ayuda Permite mostrar la ayuda de Administración de

directivas de grupos (AGPM).


Ficha Contenido



Ficha Delegación de dominio

La ficha Delegación de dominio del panel Control de cambios proporciona una lista de los

administradores de directiva de grupo que tienen acceso a nivel de dominio al archivo e indica

las funciones de cada uno. Además, esta ficha permite que los Administradores AGPM (Control

total) configuren los permisos en el nivel de dominio para los editores, aprobadores, revisores y

otros Administradores de AGPM. La ficha Delegación de dominio se compone de dos

84

secciones: la configuración de la notificación por correo electrónico y la delegación basada en

funciones para Administración de directivas de grupos (AGPM) a nivel de dominio.

Configuración de notificaciones por correo electrónico

La sección de notificación por correo electrónico de esta ficha identifica los aprobadores que

recibirán la notificación cuando las operaciones están pendientes en AGPM.

Opción Descripción

Desde dirección de correo electrónico Alias de AGPM desde el que se envía la

notificación a los aprobadores. En un entorno

con varios dominios, puede ser el mismo alias

a lo largo del entorno o un alias distinto para

cada dominio.

A dirección de correo electrónico Lista delimitada por comas de las direcciones

de correo electrónico de los aprobadores a los

que se les envía la notificación.

Servidor SMTP Nombre del servidor de correo electrónico

como, por ejemplo, mail.contoso.com

Nombre de usuario Usuario con acceso al servidor SMTP.

Contraseña Contraseña del usuario para la autenticación

del servidor SMTP.

Confirmar contraseña Permite confirmar la contraseña del usuario.

Delegación basada en funciones y a nivel de dominio

La sección de delegación basada en funciones de esta ficha muestra y permite que un

Administrador de AGPM delegue permisos válidos, denegados y heredados a cada grupo y

usuario del dominio que tenga acceso al archivo. Un Administrador de AGPM puede configurar

permisos a todo el dominio mediante las funciones de AGPM estándar (Editor, Aprobador,

Revisor y Administrador de AGPM) o mediante una combinación personalizada de permisos para

cada administrador de directiva de grupo.

Botón Efecto


descriptor de seguridad. Se pueden agregar

usuarios o grupos a Active Directory como

administradores de directivas de grupo.

Quitar Permite quitar los administradores de directivas

85

Botón Efecto

de grupo seleccionados de la lista de control de

acceso.

Propiedades Permite mostrar las propiedades de los

administradores de directivas de grupo

seleccionados.

Opciones avanzadas Abra el Editor de la lista de control de

acceso.


Para obtener más información sobre las funciones y los permisos relacionados con tareas

específicas, consulte las tareas en Realización de tareas del administrador de AGPM,

Realización de tareas del editor, Realización de tareas del aprobador y Realización de tareas

del revisor.




Ficha Servidor AGPM

La ficha Servidor AGPM del panel Control de cambios le permite seleccionar un servidor

AGPM mediante la introducción de un puerto y un nombre de equipo completos y eliminar

versiones antiguas de Objetos de directiva de grupo (GPO) del archivo para poder conservar

espacio en disco en el servidor AGPM.

Especificación del servidor AGPM

El servidor AGPM seleccionado determina qué archivo se le muestra en la ficha Contenido y en

qué ubicación se aplica la configuración de Delegación de dominio. El puerto predeterminado

de Administración de directivas de grupos (AGPM) es el puerto 4600.

Si se realiza una configuración central de la conexión con el servidor de AGPM mediante la

configuración de la plantilla administrativa, las opciones de esta ficha para la configuración de la

conexión no están disponibles. Para obtener más información, vea Configuración de las

conexiones con el servidor de AGPM.

Eliminación de versiones de GPO antiguas

De forma predeterminada, todas las versiones de cada GPO controlado se retienen en el

archivo. Sin embargo, el servicio AGPM se puede configurar para limitar el número de versiones

conservadas para cada GPO y eliminar automáticamente la versión más antigua cuando se

supera dicho límite. Sólo las versiones de GPO que aparecen en la ficha Versiones únicas de la

ventana Historial cuentan con respecto al límite.

86

El número máximo de versiones únicas que se almacena para cada GPO no incluye la

versión actual, por tanto, el valor 0 conserva sólo la versión actual. El límite no debe ser

superior a 999 versiones.

Al eliminar una versión de GPO, un registro de dicha versión permanece en el historial

del GPO, aunque la propia versión de GPO se elimina del archivo. Puede impedir que se

elimine una versión de GPO si la marca en el historial como no eliminable.





Ficha Delegación de producción

La ficha Delegación de producción del panel Control de cambios proporciona una lista de

usuarios y grupos que tienen acceso de nivel de dominio a Objetos de directiva de grupo (GPO)

controlados en el entorno de producción e indica los permisos otorgados a cada usuario o grupo.

Esta ficha permite que un Administrador AGPM (Control total) modifique la delegación de acceso

a los GPO predeterminada del entorno de producción del dominio, agregando o quitando

usuarios y grupos, y modificando los permisos otorgados a cada usuario y grupo.

Botón Efecto


descriptor de seguridad.

Quitar Permite quitar los grupos o usuarios

seleccionados de la lista de control de acceso.

Propiedades Permite ver las propiedades de los grupos o

usuarios seleccionados. La página de

propiedades es la misma que la que se

muestra para un objeto de Equipos y

usuarios de Active Directory.




Carpeta Plantillas administrativas

La configuración de la plantilla administrativa de Administración de directivas de grupos (AGPM)

le permite configurar de forma centralizada las opciones de registro y seguimiento de los clientes

Notas

87

y servidores AGPM a los que se aplica un Objeto de directiva de grupo (GPO) con esta

configuración. Asimismo, esta configuración permite configurar de forma centralizada las

ubicaciones de los archivos y la visibilidad de la carpeta Control de cambios y la ficha Historial

para los administradores de directiva de grupo a los que se aplica un GPO con esta

configuración.


Configuración de conexión con el servidor de AGPM

Configuración de la visibilidad de características





La configuración de la plantilla administrativa de Administración de directivas de grupos (AGPM)

le permite configurar las opciones de registro y seguimiento de forma centralizada para los

clientes y servidores AGPM a los que se les aplica un Objeto de directiva de grupo (GPO) con

esta configuración.

La siguiente configuración está disponible en Configuración del equipo\Directivas\Plantillas

administrativas\Componentes de Windows\AGPM cuando edite un GPO.

Rastrear ubicaciones de archivos:

Cliente: %LocalAppData%\Microsoft\AGPM\agpm.log

Servidor: %ProgramData%\Microsoft\AGPM\agpmserv.log

Opción Efecto

AGPM: configurar registro Esta configuración de directiva le permite

activar y configurar el registro de AGPM. Esta

configuración afecta tanto a los componentes

del servidor AGPM como a los clientes AGPM.



Configuración de conexión con el servidor de AGPM

Puede utilizar la configuración de la plantilla administrativa de Administración de directivas de

grupos (AGPM) para la configuración central de las conexiones con el servidor de AGPM de los

administradores de directiva de grupo a quienes se les aplique un Objeto de directiva de grupo

(GPO) con esta configuración.

La siguiente configuración está disponible en Configuración de usuario\Directivas\Plantillas

administrativas\Componentes de Windows\AGPM cuando edite un GPO.

88

Opción Efecto

AGPM: especificar servidor AGPM

predeterminado (todos los dominios)

Esta configuración de directiva le permite

especificar un servidor AGPM predeterminado

para todos los dominios. Sólo los clientes

AGPM la usan, ya que restringe la conexión de

los administradores de directiva de grupo con

otro archivo. Puede invalidar esta configuración

predeterminada en el caso de los dominios

individuales mediante la configuración AGPM:

especificar servidores de AGPM.

AGPM: especificar servidores de AGPM Esta configuración de directiva le permite

especificar servidores AGPM para dominios

individuales. Sólo los clientes AGPM la usan,

ya que restringe la conexión de los

administradores de directiva de grupo con un

archivo diferente del dominio específico. Para

especificar un servidor AGPM predeterminado,

utilice la configuración AGPM: especificar

servidor AGPM predeterminado (todos los

dominios) y utilice esta configuración de

directiva para invalidar el valor predeterminado

en función del dominio.




Configuración de la visibilidad de características

La configuración de la plantilla administrativa para Administración de directivas de grupos

(AGPM) le permite la configuración central de la visibilidad de la carpeta Control de cambios y

la ficha Historial para los administradores de directiva de grupo a los que se les aplica un Objeto

de directiva de grupo (GPO) con esta configuración.

La siguiente configuración está disponible en Configuración de usuario\Directivas\Plantillas

administrativas\Componentes de Windows\Consola de administración de

Microsoft\Complementos restringidos o permitidos\Complementos de extensión cuando edite un

GPO.

Opción Efecto

AGPM: ficha Mostrar control de cambios Esta configuración de directiva le permite

89

Opción Efecto

controlar la visibilidad de la carpeta Control de

cambios en la Consola de administración de

directiva de grupo (GPMC).

AGPM: mostrar ficha Historial de GPO

enlazados

Esta configuración de directiva le permite

controlar la visibilidad de la ficha Historial que

proporciona AGPM cuando ve un GPO

enlazado en la GPMC.

AGPM: mostrar ficha Historial de GPO Esta configuración de directiva le permite

controlar la visibilidad de la ficha Historial que

proporciona AGPM cuando ve un GPO en la

GPMC.



Guía de operaciones de Microsoft Advanced Group Policy...

Documents

Transcript of Guía de operaciones de Microsoft Advanced Group Policy...