DESARROLLO DE WINDOWS SERVER 2003 proporcionan experiencia práctica para muchas configuraciones de sistemas operativos. Las guías comienzan estableciendo una infraestructura de red común a través de la instalación de Windows Server 2003, la configuración de Active Directory®, la instalación de una estación de trabajo Windows XP Professional y, por último, la incorporación de esta estación de trabajo a un dominio. Las guías detalladas posteriores asumen que posee esta infraestructura de red común. Si no desea seguir esta infraestructura de red común, tendrá que efectuar las modificaciones pertinentes mientras utiliza estas guías.
La infraestructura de red común requiere que se sigan las instrucciones de las guías siguientes.
Una vez configurada la infraestructura de red común, pueden utilizarse todas las guías detalladas adicionales. Tenga en cuenta que algunas guías detalladas pueden tener requisitos previos adicionales además de los requisitos de infraestructura de red común. Todos los requisitos adicionales se indicarán en la guía detallada específica.
Microsoft Virtual PC
Las guías detalladas de desarrollo de Windows Server 2003 se pueden implementar en un entorno de laboratorio físico o mediante tecnologías de creación de entornos virtuales como Microsoft Virtual PC 2004 o Microsoft Virtual Server 2005. La tecnología de máquina virtual permite a los usuarios ejecutar varios sistemas operativos simultáneamente en un único servidor físico. Virtual PC 2004 y Virtual Server 2005 están diseñados para aumentar la eficacia operativa de las pruebas y desarrollo de software, la migración de aplicaciones heredadas y los escenarios de consolidación de servidores.
En las guías detalladas de desarrollo de Windows Server 2003 se asume que todas las configuraciones se realizarán en un entorno de laboratorio físico, aunque la mayoría de ellas se pueden aplicar a un entorno virtual sin necesidad de modificarlas.
La aplicación de los conceptos proporcionados en estas guías detalladas a un entorno virtual se escapa al alcance de este documento.
Notas importantes
Las compañías, organizaciones, productos, nombres de dominio, direcciones de correo electrónico, logotipos, personas, lugares y datos mencionados aquí son ficticios. No se pretende indicar, ni debe deducirse ninguna asociación con compañías, organizaciones, nombres de dominio, direcciones de correo electrónico, logotipos, personas, lugares o datos reales.
Esta infraestructura común está concebida para su uso en una red privada. El nombre ficticio de la compañía y el nombre DNS (Sistema de nombres de dominio) utilizados en la infraestructura común no están registrados para su uso en Internet. No debe utilizar estos nombres en una red pública ni en Internet.
El objetivo de la estructura del servicio Active Directory para esta infraestructura común es mostrar cómo funciona la administración de cambios y configuración de Windows Server 2003 con Active Directory. No se ha diseñado como un modelo para configurar Active Directory en una organización.
Introducción
La Consola de administración de Directivas de grupo (GPMC) de Microsoft es una nueva herramienta para la administración de Directivas de grupo que ayuda a los administradores a administrar una empresa de forma más rentable al mejorar la capacidad de administración y aumentar la productividad. Consta del nuevo complemento Microsoft Management Console (MMC) y de un conjunto de interfaces programables mediante secuencias de comandos.
GPMC simplifica la administración de la Directivas de grupo al proporcionar un único lugar para administrar aspectos esenciales de la Directiva de grupo. Atiende los requisitos principales de implementación de la Directiva de grupo exigidos por los clientes mediante las siguientes funciones.
• Una interfaz de usuario (IU) que simplifica enormemente el uso de la Directiva de grupo.
• Operaciones de copia de seguridad/restauración de objetos de Directiva de grupo.
• Operaciones de importar/exportar y copiar/pegar objetos de Directiva de grupo y filtros del Instrumental de administración de Windows (WMI).
• Administración simplificada de la seguridad relacionada con la Directiva de grupo.
• Informes HTML (Lenguaje de marcado de hipertexto) de la configuración de objetos de Directiva de grupo y datos del Conjunto resultante de directivas (RSoP).
• Secuencias de comandos de tareas relacionadas con directivas expuestas dentro de esta herramienta (y no de la configuración de un objeto de Directiva de grupo).
Hasta ahora, los administradores necesitaban utilizar varias herramientas de Microsoft para administrar la Directiva de grupo, como los complementos Usuarios y equipos de Active Directory, Sitios y servicios de Active Directory y Conjunto resultante de directivas. GPMC integra las funciones de Directiva de grupo existentes en estas herramientas en una única consola unificada con nuevas capacidades.
Una característica integrada en GPMC es la compatibilidad para administrar varios dominios y bosques, lo que permite a los administradores administrar la Directiva de grupo de toda la empresa. Los administradores tienen un control total sobre los bosques y dominios incluidos en GPMC, lo que permite mostrar únicamente las partes pertinentes de un entorno.
Nota: en esta guía detallada sólo se ofrecen instrucciones sobre el uso de GPMC para administrar objetos de Directiva de grupo. No se incluyen instrucciones sobre su configuración. Para obtener información sobre cómo configurar objetos de Directiva de grupo, consulte la Guía detallada de introducción al conjunto de características de Directiva de grupo.
Requisitos previos
• Parte 1: Instalar Windows Server 2003 como un controlador de dominio
• Guía detallada de configuración de controladores de dominio adicionales
• Guía detallada de administración de Active Directory
• Guía detallada de uso del Asistente para delegación de control
• Guía detallada de introducción al conjunto de características de Directiva de grupo
• Guía detallada de aplicación de directivas de contraseñas seguras
Principio de la página
Instalar y configurar GPMC
Instalar GPMC
La instalación de GPMC es un proceso simple que requiere la ejecución de un paquete de Windows Installer (.MSI). Para descargar la última versión, visite el sitio de Windows Server System para la administración de Directivas de grupo en
Para instalar la Consola de administración de Directivas de grupo
1. En el servidor HQ-CON-DC-01, desplácese a la carpeta que contiene gpmc.msi, haga doble clic en el paquete gpmc.msi y, a continuación, haga clic en Siguiente.
2. Haga clic en Acepto para aceptar el Contrato de licencia de usuario final (CLUF) y, a continuación, haga clic en Siguiente.
3. Haga clic en Finalizar para completar la instalación de GPMC.
Una vez finalizada la instalación, la ficha Directiva de grupo que aparecía en la página Propiedades de sitios, dominios y unidades organizativas de los complementos de Active Directory se actualiza con un vínculo directo a GPMC. La funcionalidad que existía anteriormente en la ficha Directiva de grupo ya no está disponible, puesto que todas las funciones para administrar la Directiva de grupo están disponibles en GPMC.
Para abrir el complemento GPMC
1. En el servidor HQ-CON-DC-01, haga clic en el botón Inicio, en Ejecutar, escriba GPMC.msc y, a continuación, haga clic en Aceptar.
Nota: puede utilizar también alguno de los métodos siguientes para ejecutar GPMC.
• Haga clic en el acceso directo Administración de directiva de grupo en la carpeta Herramientas administrativas en el menú Inicio o en el Panel de control.
• Crear una consola MMC personalizada: haga clic en el botón Inicio y en Ejecutar, escriba MMC y, a continuación, haga clic en Aceptar. Seleccione Archivo, haga clic en Agregar o quitar complemento y luego en Agregar. Haga clic para resaltar Administración de directiva de grupo, haga clic en Agregar, en Cerrar y después en Aceptar.
Configurar GPMC
para varios bosques
Se pueden agregar fácilmente varios bosques al árbol de la consola GPMC. De forma predeterminada, sólo se puede agregar un bosque a GPMC si existe una relación de confianza bidireccional con el bosque del usuario que ejecuta GPMC. Puede habilitar de manera opcional GPMC para que funcione sólo con una relación de confianza unidireccional o incluso sin que exista ninguna relación de confianza. La incorporación de un bosque adicional a GPMC se realiza resaltando Administración de directiva de grupo en la raíz del árbol, seleccionando Acción del menú contextual y haciendo clic en AddForest. Como el entorno de ejemplo sólo contiene un bosque, la ejecución de estos pasos se escapa al alcance de esta guía detallada.
Nota: si agrega bosques sin relación de confianza, algunas funciones no estarán disponibles. Por ejemplo, no estará disponible la característica de creación de modelos de Directiva de grupo y no será posible abrir el Editor de objetos de Directiva de grupo para los objetos de Directiva de grupo del bosque sin relación de confianza. El escenario de bosque sin relación de confianza sirve principalmente para habilitar la copia de objetos de Directiva de grupo entre bosques.
Administrar varios dominios simultáneamente
GPMC permite administrar varios dominios al mismo tiempo, con cada dominio agrupado por bosque en la consola. De forma predeterminada, sólo se muestra un dominio en GPMC. Cuando inicie por primera vez GPMC mediante el complemento preconfigurado (gpmc.msc) o una consola MMC personalizada, GPMC mostrará el dominio que contiene la cuenta de usuario utilizada para iniciar GPMC. Puede especificar dominios en cada uno de los bosques que desee administrar mediante GPMC agregando o quitando los dominios mostrados en la consola.
Nota: puede agregar dominios con relaciones de confianza externas, aunque no mantenga una relación de confianza con todo el bosque. De forma predeterminada, debe haber una relación de confianza bidireccional entre el dominio que desea agregar y el dominio del objeto de usuario. También puede agregar dominios en una relación de confianza unidireccional deshabilitando la característica de detección de relaciones de confianza de GPMC, en el cuadro de diálogo Opciones del menú Ver. Para agregar dominios con relaciones de confianza externas, primero debe utilizar el cuadro de diálogo AddForest para agregar un dominio de un bosque que contenga los dominios con relaciones de confianza externas. Una vez agregado el bosque, puede agregar todos los dominios de ese bosque en los que se confíe haciendo clic con el botón secundario del mouse (ratón) en el nodo Dominios y haciendo clic en Show Domains.
Para agregar el dominio secundario vancouver.contoso.com a la consola
1. En la ventana Administración de directiva de grupo, haga clic en el signo más (+) situado junto a Bosque:contoso.com para expandir el árbol y, a continuación, haga clic en el signo más (+) situado junto a Dominios.
2. Haga clic con el botón secundario del mouse en Dominios y, a continuación, haga clic en Show Domains.
3. Active la casilla de verificación situada junto a vancouver.contoso.com como se muestra en la Figura 1 y, a continuación, haga clic en Aceptar.
Figura 1. Mostrar dominios
En cada dominio disponible en GPMC, se utiliza el mismo controlador de dominio para todas las operaciones del dominio. Éstas incluyen todas las operaciones en los objetos de Directiva de grupo, unidades organizativas, principales de seguridad y filtros de WMI que residen en ese dominio. Asimismo, cuando el Editor de objetos de Directiva de grupo se abre desde GPMC, siempre utiliza el mismo controlador de dominio empleado en GPMC para el dominio donde se encuentra el objeto de Directiva de grupo.
GPMC permite seleccionar el controlador de dominio que se utiliza para cada dominio. Tiene cuatro opciones para elegir.
• Usar el emulador de controlador de dominio principal (PDC) (opción predeterminada).
• Usar cualquier controlador de dominio disponible.
• Usar cualquier controlador de dominio que ejecute un sistema operativo de la familia Windows Server 2003. Esta opción es útil si va a restaurar un objeto de Directiva de grupo eliminado que contiene opciones de instalación de software de Directiva de grupo.
• Usar un controlador de dominio específico.
Para cambiar el controlador de dominio utilizado por GPMC para el dominio vancouver.contoso.com
1. En la ventana Administración de directiva de grupo, en la carpeta Dominios, haga clic con el botón secundario del mouse en vancouver.contoso.com y, a continuación, haga clic en Cambiar el controlador de dominio.
2. En el cuadro de diálogo Cambiar el controlador de dominio, haga clic en This domain controller y, a continuación, haga clic para resaltar hq-con-dc-03.vancouver.contoso.com como se muestra en la Figura 2.
3. Haga clic en Aceptar para continuar.
Administrar objetos de Directiva de grupo
Ver objetos de Directiva de grupo del dominio
En cada dominio GPMC proporciona una vista basada en directivas de Active Directory y de los componentes asociados a la Directiva de grupo, como objetos de Directiva de grupo, filtros WMI y vínculos de objetos de Directiva de grupo. La vista de GPMC es similar a la vista del complemento de MMC Usuarios y equipos de Active Directory en la que se muestra la jerarquía de unidades organizativas. Sin embargo, GPMC difiere de este complemento porque en lugar de mostrar usuarios, equipos y grupos en las unidades organizativas, muestra los objetos de Directiva de grupo que están vinculados a cada contenedor, así como los propios objetos.
En cada nodo de dominio de GPMC se muestran los siguientes elementos.
• Todos los objetos de Directiva de grupo vinculados al dominio.
• Todas las unidades organizativas de nivel superior y una vista de árbol de las unidades organizativas anidadas y los objetos de Directiva de grupo vinculados a cada unidad organizativa.
• El contenedor Objetos de Directiva de grupo que muestra todos los objetos de Directiva de grupo del dominio.
• El contenedor Filtros de WMI que muestra todos los filtros de WMI del dominio.
Para ver objetos de Directiva de grupo asociados a un contenedor determinado
1. En el árbol Dominios, haga clic en el árbol contoso.com. Los objetos de Directiva de grupo asociados al contenedor (la raíz del dominio) aparecen como se muestra en la Figura 3. Este concepto se puede aplicar a cualquier contenedor de dominio.
Para ver todos los objetos de Directiva de grupo asociados a un contenedor determinado
1. En el árbol Dominios, haga clic en el signo más (+) situado junto a contoso.com y, a continuación, haga clic en Objetos de Directiva de grupo.
Buscar objetos de Directiva de grupo
Se pueden buscar objetos de Directiva de grupo en el nivel de bosque o de dominio. Para ajustar los resultados de búsqueda en un conjunto grande de objetos de Directiva de grupo se pueden utilizar uno o varios parámetros de búsqueda.
Para buscar un objeto de Directiva de grupo específico en el bosque contoso.com mediante varios parámetros de búsqueda
1. En el árbol de la consola, haga clic con el botón secundario del mouse en Bosque:contoso.com y, a continuación, haga clic en Buscar.
2. En el cuadro Search item, seleccione Nombre del GPO, escriba Password para Valor y, a continuación, haga clic en Agregar.
3. En el cuadro Search item, seleccione Configuración del equipo, seleccione Seguridad para Valor y, a continuación, haga clic en Agregar.
4. Haga clic en Buscar. Los resultados deben ser similares a los que se muestran en la Figura 4.
Figura 4. Búsqueda de objetos de Directiva de grupo basada en criterios
5. Cuando obtenga los resultados de la búsqueda, puede realizar alguna de las operaciones siguientes:
• Para abrir el objeto de Directiva de grupo y modificarlo, haga clic en Editar.
• Para guardar los resultados de búsqueda, haga clic en Save results. En el cuadro de diálogo Save GPO Search Results, especifique el nombre del archivo donde desea guardar los resultados y, a continuación, haga clic en Guardar.
• Para desplazarse a un objeto de Directiva de grupo incluido en la búsqueda, haga doble clic en el objeto de Directiva de grupo en la lista de resultados de búsqueda.
• Para borrar los resultados de búsqueda, haga clic en Borrar.
• Para cerrar el cuadro de diálogo Search for Group Policy Objects, haga clic en Cerrar.
Definir el ámbito de los objetos de Directiva de grupo
El valor de la Directiva de grupo sólo resulta visible cuando se aplican correctamente los objetos de Directiva de grupo a los contenedores de Active Directory que desea administrar. El proceso de determinar qué usuarios y equipos van a recibir la configuración de un objeto de Directiva de grupo recibe el nombre de “definir el ámbito del objeto de Directiva de grupo”. El ámbito de un objeto de Directiva de grupo se define a partir de tres factores.
• Los sitios, los dominios o las unidades organizativas donde el objeto de Directiva de grupo está vinculado El mecanismo principal utilizado para aplicar la configuración de un objeto de Directiva de grupo a usuarios y equipos consiste en vincular el objeto a un sitio, dominio o unidad organizativa en Active Directory. La ubicación donde el objeto de Directiva de grupo está vinculado se denomina Ámbito de administración o SOM (también llamada SDOU en notas del producto anteriores). Hay tres tipos de SOM: sitios, dominios y unidades organizativas. Un objeto de Directiva de grupo puede estar vinculado a varios SOM y un SOM puede tener varios objetos de Directiva de grupo vinculados a él. Un objeto de Directiva de grupo debe estar vinculado a un SOM para que se aplique.
• Los filtros de seguridad del objeto de Directiva de grupo De forma predeterminada, a todos los usuarios autenticados que se encuentran en el SOM (y sus nodos secundarios) en el que está vinculado un objeto de Directiva de grupo se les aplica la configuración del objeto de Directiva de grupo. Puede delimitar aún más qué usuarios y equipos recibirán la configuración de un objeto de Directiva de grupo administrando permisos para el objeto de Directiva de grupo. Esto proceso se denomina filtrado de seguridad. Para que un objeto de Directiva de grupo se aplique a un usuario o equipo, ese usuario o equipo debe tener los permisos Leer y Aplicar directiva de grupo sobre el objeto. De manera predeterminada, los objetos de Directiva de grupo tienen permisos que admiten que el grupo Usuarios autenticados tenga esos dos permisos. Así es como todos los usuarios autenticados reciben la configuración de un nuevo objeto de Directiva de grupo cuando está vinculado a un SOM (unidad organizativa, dominio o sitio). No obstante, estos permisos se pueden cambiar para limitar el ámbito del objeto de Directiva de grupo a un conjunto específico de usuarios grupos o equipos incluidos en el SOM donde está vinculado.
• El filtro de WMI para el objeto de Directiva de grupo Los filtros de WMI permiten que los administradores determinen de forma dinámica el ámbito de los objetos de Directiva de grupo en función de sus atributos (disponibles en WMI) del equipo de destino. Un filtro de WMI consta de una o varias consultas contra el repositorio de WMI del equipo de destino que dan como resultado verdadero o falso. El filtro de WMI es un objeto independiente del objeto de Directiva de grupo en el directorio. Para aplicar un filtro de WMI a un objeto de Directiva de grupo, el filtro se vincula al objeto. Esto se muestra en la sección de filtros de WMI de la ficha Ámbito de un objeto de Directiva de grupo. Cada objeto de Directiva de grupo sólo puede tener un filtro de WMI, pero el mismo filtro de WMI puede estar vinculado a varios objetos de Directiva de grupo. Cuando un objeto de Directiva de grupo que está vinculado a un filtro de WMI se aplica al equipo de destino, el filtro se evalúa en dicho equipo. Si el filtro de WMI da como resultado falso, el objeto de Directiva de grupo no se aplica. Si da como resultado verdadero, el objeto de Directiva de grupo se aplica.
Para definir el ámbito del objeto Directiva de contraseñas del dominio incluido en la búsqueda anterior
1. En el panel de resultados Search for Group Policy Objects, haga doble clic en Directiva de contraseñas del dominio y, a continuación, haga clic en Cerrar.
Nota: cuando se cierra el cuadro de diálogo Search for Group Policy Objects, el foco pasa al objeto de Directiva de grupo anteriormente seleccionado en GPMC. Aparecerá la página GPO Scope, que se muestra en la Figura 5.
Para ver las directivas que aplica un objeto de Directiva de grupo
1. En el panel de resultados Directiva de contraseñas del dominio, haga clic en la ficha Configuración y luego en Show All. Aparecerá un resumen de todas las opciones de directiva definidas, como se muestra en la Figura 6. Las opciones no definidas no se muestran.
Herencia y orden de los vínculos de las directivas de objetos de Directiva de grupo
En la ficha Group Policy Inheritance para un contenedor dado se muestran todos los objetos de Directiva de grupo (salvo aquéllos vinculados a sitios) que heredan la configuración de los contenedores principales. En la columna de prioridad de esta ficha se muestra la prioridad general de todos los vínculos que se aplican a objetos de ese contenedor, teniendo en cuenta el atributo Orden de vínculos y Obligatoriedad de cada vínculo, así como el valor de Bloquear la herencia.
Para ver la herencia de directivas en un contenedor
1. En la ventana Administración de directiva de grupo, bajo el árbol contoso.com, expanda la unidad organizativa Cuentas y, a continuación, haga clic en la unidad organizativa Oficinas centrales, como se muestra en la Figura 7.
Si varios objetos de Directiva de grupo están vinculado al mismo contenedor y tienen opciones en común, debe haber un mecanismo que reconcilie la configuración. Este comportamiento se controla mediante el orden de vínculos. Cuanto menor sea el número de orden de un vínculo, más prioridad tendrá. La información sobre los vínculos de un contenedor determinado se muestra en la ficha Linked Group Policy Objects del contenedor. En este panel se indica si el vínculo es obligatorio, si está habilitado, el estado del objeto de Directiva de grupo, si se aplica un filtro de WMI, cuándo se ha modificado y el contenedor de dominio donde está almacenado. Los administradores o usuarios que tengan permisos delegados para vincular objetos de Directiva de grupo al contenedor pueden cambiar el orden de los vínculos resaltando un vínculo de objeto de Directiva de grupo y utilizando las teclas de dirección arriba y abajo para subir o bajar el vínculo en la lista.
Para cambiar el orden de los vínculos de directiva en un contenedor
1. En la pantalla Oficinas centrales, haga clic en Linked Group Policy Objects.
2. En la columna GPO, haga clic en Directivas vinculadas y, después, haga clic en la flecha arriba situada justo a la izquierda de la columna Orden de vínculos. Cuando termine, el orden de vinculación de los objetos de Directiva de grupo bajo la unidad organizativa Oficinas centrales aparecerá como se muestra en la Figura 8.
Hacer una copia de seguridad, restaurar, copiar e importar objetos de Directiva de grupo
Hacer una copia de seguridad de un objeto de Directiva de grupo
Cuando se hace una copia de seguridad de un objeto de Directiva de grupo se copian los datos del objeto en el sistema de archivos. La función de copia de seguridad sirve también como utilidad de exportación para los objetos de Directiva de grupo. Se puede utilizar una copia de seguridad de un objeto de Directiva de grupo para restablecerlo al estado de copia de seguridad o para importar la configuración de la copia de seguridad a otro objeto de Directiva de grupo.
Al hacer una copia de seguridad de un objeto de Directiva de grupo se guarda en el sistema de archivos toda la información almacenada en el interior del objeto. Esta información es la siguiente:
• El identificador único global (GUID) del objeto de Directiva de grupo y la configuración del objeto en el dominio
• La lista de control de acceso discrecional (DACL) del objeto de Directiva de grupo
• El vínculo del filtro de WMI, si hay alguno, pero no el filtro en sí
• Los vínculos a directivas de seguridad IP, si existe alguno
• El informe XML (Lenguaje de marcado extensible) de la configuración del objeto de Directiva de grupo, que se puede consultar como HTML desde GPMC
• La marca de fecha y hora de la copia de seguridad
• La descripción especificada por el usuario de la copia de seguridad
Al hacer una copia de seguridad de un objeto de Directiva de grupo sólo se guardan los datos almacenados dentro del objeto. Los datos almacenados fuera del objeto son los siguientes:
• Los vínculos a un sitio, dominio o unidad organizativa
• Los filtros de WMI
• La directiva de seguridad IP
Estos datos no están disponibles cuando se restaura la copia de seguridad al objeto de Directiva de grupo original o cuando se importa a un nuevo objeto.
Para hacer una copia de seguridad del objeto Directiva de contraseñas del dominio
1. En la ventana Administración de directiva de grupo, bajo el árbol contoso.com, haga clic en la carpeta Objetos de Directiva de grupo.
2. En la carpeta Objetos de Directiva de grupo, haga clic con el botón secundario del mouse en el objeto de Directiva de grupo Directiva de contraseñas del dominio y, a continuación, haga clic en Back Up.
3. En el cuadro de diálogo Back Up Group Policy Object, escriba c:\windows para Ubicación, escriba Copia de seguridad de la directiva de contraseñas del dominio para Descripción y, después, haga clic en Back Up.
4. Una vez realizada la copia de seguridad, haga clic en Aceptar para continuar.
Administrar copias de seguridad
En la misma ubicación del sistema de archivos se pueden almacenar varias copias de seguridad del mismo o de otro objeto de Directiva de grupo. Cada copia de seguridad se identifica mediante un identificador de copia de seguridad exclusivo. El grupo de copias de seguridad de una ubicación del sistema de archivos determinada se puede administrar con el cuadro de diálogo Manage Backups de GPMC o mediante interfaces programables con secuencias de comandos. El cuadro de diálogo Manage Backups está disponible haciendo clic con el botón secundario del mouse en el nodo Dominio o en el nodo Objetos de Directiva de grupo de un determinado dominio. Cuando se abre Manage Backups desde el nodo Objetos de Directiva de grupo, la vista se filtra automáticamente para que sólo aparezcan las copias de seguridad de los objetos de Directiva de grupo de ese dominio. Cuando se abre desde el nodo Dominio, en el cuadro de diálogo Manage Backups se muestran todas las copias de seguridad, sean del dominio que sean.
Para administrar las copias de seguridad de objetos de Directiva de grupo disponibles
1. En la ventana Administración de directiva de grupo, bajo el árbol contoso.com, haga clic con el botón secundario del mouse en la carpeta Objetos de Directiva de grupo y, a continuación, haga clic en Manage Backups. La ventana Manage Backups debe tener un aspecto similar al de la Figura 9.
Figura 9. Administrar copias de seguridad
2. En la ventana Manage Backups, haga clic para resaltar la Copia de seguridad de la directiva de contraseñas del dominio creada anteriormente y, después, haga clic en Ver configuración.
3. Revise la información detallada sobre el objeto de Directiva de grupo y, a continuación, cierre Internet Explorer.
Restaurar una copia de seguridad
Cuando se restaura un objeto de Directiva de grupo se vuelve a crear el objeto a partir de los datos incluidos en la copia de seguridad. Una operación de restauración se puede utilizar en las siguientes circunstancias: se ha hecho una copia de seguridad del objeto de Directiva de grupo pero se ha eliminado, o el objeto de Directiva de grupo está activo pero desea restablecerlo a un estado anterior conocido. Una operación de restauración reemplaza los siguientes componentes de un objeto de Directiva de grupo.
• La configuración del objeto
• La lista DACL del objeto
• Los vínculos de filtro de WMI (pero no los propios filtros)
La operación de restauración no restaura objetos que no forman parte del objeto de Directiva de grupo. Estos objetos incluyen vínculos a un sitio, dominio o unidad organizativa, filtros de WMI y directivas IPSec.
Para restaurar el objeto Directiva de contraseñas del dominio
1. En la ventana Manage Backups, haga clic en Restore.
2. Cuando se le indique, haga clic en Aceptar para restaurar la copia de seguridad seleccionada.
3. Haga clic en Aceptar cuando termine la restauración del objeto de Directiva de grupo.
4. En el cuadro de diálogo Manage Backups, haga clic en Cerrar.
Copiar un objeto de Directiva de grupo
La operación de copia permite transferir la configuración de un objeto de Directiva de grupo existente en Active Directory a un nuevo objeto de Directiva de grupo. El nuevo objeto de Directiva de grupo creado durante la operación de copia recibe un nuevo GUID y está desvinculado. Puede utilizar una operación de copia para transferir la configuración a un nuevo objeto de Directiva de grupo del mismo dominio, de otro dominio del mismo bosque o de un dominio de otro bosque. Como la operación de copia utiliza un objeto de Directiva de grupo existente en Active Directory como su origen, se requiere una relación de confianza entre los dominios de origen y de destino. Las operaciones de copia sirven para mover la Directiva de grupo de un entorno de producción a otro. Se utilizan también para migrar una Directiva de grupo que se ha probado en un dominio o bosque de prueba a un entorno de producción, siempre que exista una relación de confianza entre los dominios de origen y de destino.
Para copiar un objeto de Directiva de grupo
1. En el árbol contoso.com de la carpeta Objetos de Directiva de grupo, haga clic con el botón secundario del mouse en el objeto de Directiva de grupo Directivas de usuario forzadas y, después, haga clic en Copiar.
2. Haga clic en el signo más (+) situado junto a vancouver.contoso.com para expandir el dominio y, después, haga clic en el signo más (+) situado junto a Objetos de Directiva de grupo para expandir el árbol.
3. Haga clic con el botón secundario del mouse en Objetos de Directiva de grupo y, a continuación, haga clic en Pegar.
4. En Cross-Domain Copying Wizard, haga clic en Siguiente para continuar.
5. En la pantalla Specify Permissions, seleccione Use the default permissions for new GPOs (opción predeterminada)
Figura 10. Asistente para copiar entre dominios
6. Una vez analizado el objeto de Directiva de grupo original, haga clic en Siguiente para continuar.
7. En la pantalla Completing the Cross-Domain Copying Wizard, confirme la configuración y, a continuación, haga clic en Finalizar.
8. Cuando termine la operación de copia, haga clic en Aceptar.
Nota: el objeto de Directiva de grupo Directivas de usuario forzadas se ha copiado al dominio vancouver.contoso.com, pero no se ha desvinculado del contenedor.
Para vincular el objeto Directivas de usuario forzadas a la raíz de vancouver.contoso.com
1. Haga clic con el botón secundario del mouse en vancouver.contoso.com, haga clic en Link an Existing GPO, haga clic para resaltar Directivas de usuario forzadas y, a continuación, haga clic en Aceptar.
Importar un objeto de Directiva de grupo
La operación de importación transfiere la configuración a un objeto de Directiva de grupo existente en Active Directory mediante un objeto de Directiva de grupo de copia de seguridad en la ubicación del sistema de archivos como origen. Las operaciones de importación sirven para transferir la configuración de un objeto de Directiva de grupo a otro en el mismo dominio, en otro dominio del mismo bosque o en un dominio de un bosque diferente. La operación de importación siempre aplica la configuración de la copia de seguridad a un objeto de Directiva de grupo existente. Borra cualquier configuración que exista previamente en el objeto de Directiva de grupo de destino. La importación no requiere una relación de confianza entre el dominio de origen y el de destino; por tanto, sirve para transferir la configuración entre bosques y dominios que no tiene relaciones de confianza. La importación de la configuración a un objeto de Directiva de grupo no afecta a sus DACL, vínculos en sitios, dominios o unidades organizativas a ese objeto o vínculos a un filtro de WMI.
Para importar la Directiva de contraseñas del dominio de contoso.com a la de vancouver.contoso.com
1. En la ventana Administración de directiva de grupo, haga clic con el botón secundario del mouse en vancouver.contoso.com y, después, haga clic en Create and Link a GPO here.
2. En el cuadro de diálogo New GPO, escriba Directiva de contraseñas del dominio para Nombre y, a continuación, haga clic en Aceptar.
3. En Objetos de Directiva de grupo del árbol vancouver.contoso.com, haga clic con el botón secundario del mouse en el objeto de Directiva de grupo Directiva de contraseñas del dominio y, después, haga clic en Importar configuración.
4. En Import Settings Wizard, haga clic en Siguiente para continuar.
5. En la pantalla Backup GPO, haga clic en Siguiente para continuar sin realizar una copia de seguridad, ya que el objeto de Directiva de grupo no tiene actualmente definiciones de directiva.
6. Acepte la carpeta de copia de seguridad predeterminada, c:\windows, y, a continuación, haga clic en Siguiente para continuar.
7. Como la Directiva de contraseñas del dominio es la única copia de seguridad actual, está seleccionada de forma predeterminada. Haga clic en Siguiente para empezar a importar la configuración de este objeto de Directiva de grupo.
8. Haga clic en Siguiente cuando se analicen los principales de seguridad del objeto de Directiva de grupo y, después, haga clic en Finalizar.
9. Cuando concluya el Import Settings Wizard, haga clic en Aceptar.
Para comprobar la Directiva de contraseñas del dominio de vancouver.contoso.com
1. En Objetos de Directiva de grupo del árbol vancouver.contoso.com, haga clic en el objeto de Directiva de grupo Directiva de contraseñas del dominio y, después, haga clic en Show All en el panel de resultados.
Creación de modelos de objetos de Directiva de grupo
Modelos de Directiva de grupo
Los modelos de Directiva de grupo son una simulación de lo que ocurriría en circunstancias especificadas por un administrador. Requiere que exista al menos un controlador de dominio que ejecute Windows Server 2003, ya que esta simulación se ejecuta mediante un servicio que se ejecuta en un controlador de dominio con Windows Server 2003.
Con los modelos de Directiva de grupo, puede simular los datos de RSoP que se aplicarían a una configuración existente, o puede realizar análisis condicionales simulando cambios hipotéticos en el entorno de directorio y calculando el RSoP de esa configuración hipotética. Por ejemplo, puede simular cambios en la pertenencia a grupos de seguridad, o cambios en la ubicación del objeto de usuario o equipo en Active Directory. Fuera de GPMC, los modelos de Directiva de grupo reciben el nombre de RSoP - modo de planeamiento.
Para simular el efecto de objetos de Directiva de grupo
1. En la ventana Administración de directiva de grupo, haga clic en el signo menos (-) situado junto a Dominios para contraer el árbol.
2. En el árbol Bosque: contoso.com, haga clic con el botón secundario del mouse en Group Policy Modeling y, a continuación, haga clic en Group Policy Modeling Wizard.
3. En la pantalla Group Policy Modeling Wizard, haga clic en Siguiente.
4. En la pantalla Domain Controller Selection, deje la configuración predeterminada y haga clic en Siguiente.
5. En la pantalla Selección de equipo y usuario, bajo Información de usuario, haga clic en Usuario. Haga clic en Examinar, escriba Christine bajo Enter object name to select y, a continuación, haga clic en Aceptar. Active la casilla de verificación Ir directamente a la última página de este asistente sin recoger más información y, después, haga clic en Siguiente. Asistente para crear modelos de Directiva de grupo
6. En la pantalla Resumen de las selecciones, haga clic en Siguiente para iniciar la simulación.
7. Haga clic en Finalizar. El panel de la derecha contendrá los resultados de la simulación.
No hay comentarios:
Publicar un comentario