2017­5­5 Directiva de grupo para principiantes

Directiva de grupo para principiantes

Actualizado: 27 Abril 2011

Se aplica a: Windows 7

Si usted es un profesional de TI que nunca ha utilizado la directiva de grupo para controlar las configuraciones de equipo, este libro blanco es para usted.
Directiva de grupo es la forma esencial que la mayoría de las organizaciones aplican la configuración de sus ordenadores. Es lo suficientemente flexible como
para incluso los escenarios más complejos; Sin embargo, las características esenciales son fáciles de usar en escenarios simples, que son más comunes.

Este documento es una introducción a la directiva de grupo. En primer lugar, proporciona una visión general de lo que puede hacer con la directiva de grupo,
y luego se describen los conceptos esenciales que usted debe saber. Por ejemplo, lo que es un objeto de directiva de grupo ﴾GPO﴿? ¿Qué significa la
herencia? Con los fundamentos fuera del camino, este documento proporciona instrucciones paso a paso, con un montón de imágenes, para las tareas de
directiva de grupo más comunes.

Nota

Esta guía es para los novatos de directiva de grupo. Tanto como sea posible, utiliza la llanura Inglés para describir conceptos de directiva de grupo de
manera simple. Pros de directiva de grupo deben ver Planificación de la directiva de grupo y despliegue en TechNet para obtener información más
detallada técnicamente.

Para obtener una versión descargable de este documento, consulte la directiva de grupo para principiantes en el Centro de descarga de Microsoft.

Visión general de la directiva de grupo

Directiva de grupo es simplemente la manera más fácil de alcanzar y configurar la configuración del equipo y de usuario en redes basadas en Servicios de
dominio de Active Directory ﴾AD DS﴿. Si su negocio no está utilizando la directiva de grupo, se está perdiendo una gran oportunidad para reducir los costos,
las configuraciones de control, mantener a los usuarios productiva y feliz, y endurecer la seguridad. Piense en la directiva de grupo como “tocar una vez,
configurar muchos.”

Los requisitos para usar la directiva de grupo y siguiendo las instrucciones que este documento proporciona son sencillos:

La red debe estar basada en AD DS ﴾es decir, al menos un servidor debe tener la función de AD DS instalado﴿. Para obtener más información acerca de
AD DS, consulte Active Directory Descripción general de Servicios de dominio en TechNet.

Los equipos que desee administrar debe ser unido al dominio, y los usuarios que desea administrar debe utilizar credenciales de dominio para iniciar
sesión en sus ordenadores.

Debe tener permiso para modificar la directiva de grupo en el dominio.

Aunque este documento técnico se centra en el uso de Directiva de grupo en AD DS, también puede configurar los parámetros de directiva de grupo
localmente en cada equipo. Esta capacidad es ideal para situaciones puntuales o los equipos del grupo de trabajo, pero el uso de directivas de grupo local no
se recomienda para redes empresariales basadas en AD DS. La razón es simple: la directiva de grupo basada en el dominio centraliza la administración, por lo
que se puede tocar muchos ordenadores desde un solo lugar. Directivas de grupo local requiere que se toca cada equipo, no un escenario ideal en un
entorno de gran tamaño. Para obtener más información acerca de la configuración de directivas de grupo local, vea Editor de directivas de grupo local en
TechNet.

Windows 7 hace cumplir las configuraciones de directiva que se definen mediante Directiva de grupo. En la mayoría de los casos, se desactiva la interfaz de
usuario para esa configuración. Además, debido a la configuración de directiva de Windows 7 almacena grupo en lugares seguros en el registro, cuentas de
usuario estándar no pueden cambiar los ajustes. Por lo tanto, al tocar una sola vez la configuración, puede configurar y hacer cumplir dicha configuración en
muchos ordenadores. Cuando un ajuste ya no se aplica a un equipo o usuario, la directiva de grupo elimina la configuración de directiva, la restauración de la
configuración original y permitiendo su interfaz de usuario. La funcionalidad es todo bastante sorprendente y muy potente.

Nota

cuentas de usuario estándar son las cuentas de usuario que son miembros del grupo de usuarios locales y no el grupo de administradores locales. Tienen
una capacidad restringida para configurar los ajustes del sistema. De Windows 7 mejores soportes cuentas de usuario estándar que las versiones
anteriores de Windows, permitiendo a estas cuentas para cambiar la zona horaria, instalar impresoras, conexiones de red reparación, y así sucesivamente.
Implementación de cuentas de usuario estándar es una buena práctica, y lo hace de manera simplemente no agregar cuentas de usuario al grupo de
administradores locales. Windows 7 añade automáticamente al grupo de usuarios del dominio al grupo de usuarios locales cuando se une el equipo al
dominio.

Conceptos esenciales de directiva de grupo

https://technet.microsoft.com/en­us/library/hh147307(d=printer,v=ws.10).aspx 1/14
2017­5­5 Directiva de grupo para principiantes
Puede gestionar todos los aspectos de la directiva de grupo mediante la Consola de administración de directivas de grupo ﴾GPMC﴿. La Figura 1 muestra la
GPMC, y este libro blanco se referirá a esta cifra varias veces a medida que aprende acerca de conceptos importantes de directiva de grupo.

Figura 1 . Consola de administración de directivas de grupo

Se empieza la GPMC desde el menú Inicio: Haga clic en Inicio , Todos los programas , Herramientas administrativas , Administración de directivas de
grupo . También puede hacer clic en Inicio , escriba Administración de directivas de grupo y haga clic en Administración de directivas de grupo en el
Programas sección del menú Inicio. Windows Server 2008 y Windows Server 2008 R2 incluyen la GPMC cuando se están ejecutando la función de AD DS. De
lo contrario, puede instalar GPMC en Windows Server 2008, Windows Server 2008 R2 o Windows 7 como se describe en la sección “Instalación de GPMC en
Windows 7,” más adelante en este documento.

objetos de directiva de grupo

GPO contienen la configuración de directivas. Se puede pensar en los GPO como documentos de políticas que se aplican a su configuración de los equipos y
usuarios dentro de su control. Si GPO son documentos de política, entonces la GPMC es como el Explorador de Windows. Se utiliza la GPMC para crear,
mover y eliminar los GPO del mismo modo que utiliza el Explorador de Windows para crear, mover y eliminar archivos.

En GPMC, que se ve todos los GPO del dominio de la directiva de grupo de objetos de carpeta. En la Figura 1, el número de llamada 1 muestra tres GPO para
el dominio corp.contoso.com dominio. Estos son los GPO:

Seguridad de contabilidad . Se trata de un GPO personalizado creado específicamente para Contoso, Ltd.

Predeterminada de controladores de dominio . Instalación de la función de servidor AD DS crea esta política por defecto. Contiene la configuración
de directivas que se aplican específicamente a los controladores de dominio.

Predeterminada de dominio . Instalación de la función de servidor AD DS crea esta política por defecto. Contiene la configuración de directivas que
se aplican a todos los equipos y usuarios en el dominio.

Enlaces de directiva de grupo

En el nivel superior de AD DS son los sitios y dominios. implementaciones sencillas tendrán un sitio único y un único dominio. Dentro de un dominio, puede
crear unidades organizativas ﴾OU﴿. OU son como las carpetas en Windows Explorer. En lugar de contener archivos y subcarpetas, sin embargo, pueden
contener equipos, usuarios y otros objetos.

Por ejemplo, en la figura 1 se ve una Departamentos OU con nombre. A continuación los Departamentos OU, se pueden observar cuatro subcarpetas:
contabilidad, ingeniería, gestión y comercialización. Estas son unidades organizativas secundarias. Aparte de los controladores de dominio OU que se ve en la
Figura 1, nada más en la figura es una unidad organizativa.

¿Qué tiene esto que ver con los vínculos de directiva de grupo? Bueno, GPO en la directiva de grupo de objetos de carpeta tiene ningún impacto a menos
que les enlace a un sitio, dominio o unidad organizativa. Al vincular un GPO a un contenedor, la directiva de grupo se aplica la configuración del GPO para los
equipos y usuarios de ese contenedor. En la Figura 1, el número de llamada 1 puntos a dos GPO vinculados a unidades organizativas:

La primera se llama GPO predeterminada de dominio, y esto GPO está vinculado al dominio corp.contoso.com. Este GPO se aplica a cada equipo y el
usuario en el dominio.

El segundo GPO se llama Seguridad de Contabilidad, y este GPO está vinculado a la contabilidad llamado OU. Este GPO se aplica a cada equipo y
usuario en la unidad organizativa de Contabilidad.

En GPMC, puede crear objetos GPO de la directiva de grupo de carpeta y luego enlazarlas‐dos pasos. También puede crear y vincular un GPO en un solo
paso. La mayoría de las veces, simplemente crear y vincular un GPO en un solo paso, que la sección “Crear un GPO,” más adelante en este documento,
describe.

https://technet.microsoft.com/en­us/library/hh147307(d=printer,v=ws.10).aspx 2/14
2017­5­5 Directiva de grupo para principiantes

La herencia de directivas de grupo

A medida que la sección anterior dio a entender, al vincular un GPO para el dominio, el GPO se aplica a los equipos y usuarios en cada unidad organizativa y
la unidad organizativa secundaria en el dominio. Del mismo modo, cuando se vincula un GPO a una unidad organizativa, el GPO se aplica a los equipos y
usuarios en cada unidad organizativa secundaria. Este concepto se denomina herencia.

Por ejemplo, si crea un GPO denominado Configuración de Firewall de Windows y vincularlo al dominio corp.contoso.com en la Figura 1, los ajustes de ese
GPO se aplican a todas las unidades organizativas que se ve en la figura: Departamentos, Contabilidad, Ingeniería, Controladores de gestión, marketing, y el
dominio. Si en lugar de vincular el GPO a la unidad organizativa Departamentos, la configuración en el GPO se aplican sólo a los Departamentos,
Contabilidad, Ingeniería, Administración y Marketing de las unidades organizativas. No se aplica a todo el dominio o la unidad organizativa Controladores de
dominio. Descendiendo de una sola planta, si se vincula el mismo GPO a la unidad organizativa de Contabilidad en la Figura 1, la configuración en el GPO
sólo se aplican a la unidad organizativa de contabilidad, ya que no tiene unidades organizativas secundarias. En GPMC, se puede ver lo que los GPO un
contenedor hereda haciendo clic en la ficha Directiva de grupo Herencia ﴾llamada número 1 en la Figura 2﴿.

La Figura 2 . Herencia de directivas de grupo y la precedencia

Entonces, ¿qué ocurre si varios GPO contienen la misma configuración? Aquí es donde la orden de precedencia entra en juego. En general, el orden en que se
aplica la directiva de grupo GPO determina la prioridad. El orden es el sitio, dominio, OU y OU secundarias. Como resultado, los GPO de OU secundarias
tienen una prioridad más alta que los GPO vinculados a las UO, que tienen una prioridad más alta que los GPO vinculados al dominio, que tienen una
prioridad más alta que los GPO vinculados al sitio. Una manera fácil de pensar en esto es que la directiva de grupo se aplica GPO de arriba hacia abajo,
sobrescribiendo los ajustes en el camino. En escenarios más avanzados, sin embargo, puede anular la orden de precedencia.

Usted también puede tener‐dentro de una sola GPO de OU‐múltiples que contienen la misma configuración. Al igual que antes, el orden en que se aplica la
directiva de grupo GPO determina el orden de precedencia. En la Figura 2, se ven dos GPO vinculados al dominio corp.contoso.com: configuración de Firewall
de Windows y directiva de dominio predeterminada. Directiva de grupo se aplica GPO con una orden de vínculos más baja después de la aplicación de GPO
con una orden de vínculos superior. En este caso, se aplicará la configuración del Firewall de Windows después de la Directiva de dominio predeterminada.
Sólo recuerde que una orden de vínculos de 1 es la primera prioridad, y una orden de vínculos de 2 es la segunda prioridad. Se puede cambiar el orden de
enlace para un recipiente haciendo clic en las flechas hacia arriba y hacia abajo como se muestra por el número de llamada 2 en la Figura 2.

Nota

Como es probable que esté dando cuenta a estas alturas, la directiva de grupo es una herramienta muy versátil. Sin embargo, la directiva de grupo ofrece
la oportunidad de hacer las cosas muy complicadas. En ambientes simples, tales como laboratorios y pequeñas empresas, no hay nada malo con la
vinculación de todos los GPO al dominio. Mantenlo simple. Debe haber una justificación para complicación. En la Figura 1, si desea crear un GPO y
vincularlo sólo a la Ingeniería y Marketing unidades organizativas, la justificación debe ser que el GPO contiene parámetros que se aplican sólo a los dos
departamentos y no debe aplicarse a cualquier otro departamento. Si no puede realizar esta justificación, a continuación, mantener las cosas simples
vinculando el GPO una vez al dominio.

Configuración de directiva de grupo

Para este punto, que ha aprendido sobre los GPO. Usted ha aprendido que GPMC es GPO y unidades organizativas como el Explorador de Windows es a
archivos y carpetas. GPO son los documentos de política. En algún momento, vas a tener que editar uno de esos documentos, sin embargo, y el editor que se
utiliza es el Editor de directivas de administración de grupos ﴾GPME﴿, lo que muestra la figura 3. Se abre un GPO en el GPME, haga clic en él en la GPMC y

https://technet.microsoft.com/en­us/library/hh147307(d=printer,v=ws.10).aspx 3/14
2017­5­5 Directiva de grupo para principiantes
haciendo clic en Editar . Una vez que haya terminado, sólo tiene que cerrar la ventana. El GPME guarda los cambios automáticamente, así que no tiene que
guardar.

Figura 3 . Editor de administración de directivas de grupo

En la Figura 3, los números de llamada 1 y 2 punto a Configuración del equipo y Configuración de usuario, respectivamente. La carpeta Configuración del
equipo contiene parámetros que se aplican a los ordenadores, independientemente de la que los usuarios inician sesión en ellos. Estos tienden a ser la
configuración del sistema y de seguridad que configurar y controlar el ordenador. La carpeta Configuración de usuario contiene los ajustes que se aplican a
los usuarios, independientemente del equipo que utilizan. Estos tienden a afectar la experiencia del usuario.

Dentro de las carpetas de configuración Configuración del equipo y de los usuarios, se ven dos subcarpetas ﴾números de llamada 3 y 4 de la Figura 3﴿:

Políticas . Políticas contiene parámetros de directiva que impone la directiva de grupo.

Preferencias . Preferencias contiene la configuración de preferencias que se pueden utilizar para cambiar casi cualquier configuración de registro,
archivo, carpeta u otro elemento. Mediante el uso de los ajustes de preferencias, puede configurar las aplicaciones y características de Windows que
no son conscientes de la directiva de grupo. Por ejemplo, se puede crear una configuración de preferencia que configura un valor de registro para una
aplicación de terceros, elimina la carpeta de imágenes de muestra de perfiles de usuario, o configura un archivo. También puede elegir si la directiva de
grupo hace cumplir cada configuración de preferencias o no. Sin embargo, las cuentas de usuario estándar pueden cambiar la mayoría de los ajustes
de preferencias que se definen en la carpeta de configuración de usuario entre las actualizaciones de directiva de grupo. Se puede obtener más
información sobre la configuración de preferencias mediante la lectura de la Preferencias Introducción a la directiva de grupo .

Cuando usted está aprendiendo primera directiva de grupo, la mayoría de las configuraciones que se configurará estará en las carpetas de plantillas
administrativas. Estos son parámetros de directiva basada en el registro que hace cumplir la directiva de grupo. Son diferentes de otras configuraciones de
directiva por dos razones. En primer lugar, las tiendas de directiva de grupo estos valores en lugares específicos del registro, llamados las ramas políticas, que
las cuentas de usuario estándar no pueden cambiar. Grupo características y aplicaciones de Windows Política‐conscientes buscan estos ajustes en el registro.
Si se encuentran con esta configuración de directiva, que utilizan la configuración de directiva en lugar de los ajustes regulares. A menudo desactivar la
interfaz de usuario para esos ajustes también.

En segundo lugar, los archivos de plantillas administrativas, que tienen la extensión .admx, definen las plantillas para estas configuraciones. Estas plantillas no
sólo definen en la configuración de directivas van en el registro, sino también describen cómo debe solicitarse en el GPME. Al establecer la directiva de grupo
que muestra la Figura 4, por ejemplo, un archivo de plantilla administrativa define el texto de ayuda, las opciones disponibles, los sistemas operativos
compatibles, y así sucesivamente.

https://technet.microsoft.com/en­us/library/hh147307(d=printer,v=ws.10).aspx 4/14
2017­5­5 Directiva de grupo para principiantes

La Figura 4 . Configuración de directiva de grupo

Cuando se edita una configuración de directiva, que suelen ser confrontado con las opciones que los números de llamada de 1 a 3 indican en la Figura 4. En
general, al hacer clic:

Habilitado escribe la configuración de directiva en el registro con un valor que habilita.

Discapacitados escribe la configuración en el registro con un valor que lo inhabilita la política.

No configurado deja el ajuste de la política definida. Directiva de grupo no escribir la configuración para el registro de políticas, por lo que no tiene
impacto en equipos o usuarios.

Generalizando lo habilita y medios de movilidad reducida por cada configuración de directiva no es posible. Generalmente, usted puede leer el texto de
ayuda, que se muestra en el número de llamada 5, para determinar exactamente lo que significan estas opciones. También hay que tener cuidado al leer el
nombre de la configuración de directiva. Por ejemplo, dicen algunos parámetros de directiva “active la función X”, mientras que otras configuraciones de
directiva dicen, “Apaga Y. función”, activado y desactivado tener diferentes significados en cada caso. Hasta que no se siente cómodo, asegúrese de leer el
texto de ayuda para la configuración de directivas que se configuran.

Algunas configuraciones de directivas tienen opciones adicionales que se pueden configurar. Número de referencia 4 en la figura 4 muestra las opciones que
están disponibles para la directiva de grupo de actualización de configuración de directiva de intervalo. En la mayoría de los casos, los valores por defecto
coinciden con los valores por defecto para Windows. Además, el texto de ayuda por lo general proporciona información detallada acerca de las opciones que
se pueden configurar.

Actualizar la directiva de grupo

Como se vio en la sección anterior, los GPO contienen tanto la configuración del equipo y del usuario. Directiva de grupo se aplica:

la configuración del equipo cuando se inicia Windows.

Ajustes de usuario después el usuario se conecta al ordenador.

Directiva de grupo también refresca GPO sobre una base regular, asegurando que la directiva de grupo se aplica GPO nuevos y modificados sin esperar a que
se reinicie el equipo o el usuario al cerrar la sesión. El período de tiempo entre estas actualizaciones se llama el intervalo de actualización de directiva de
grupo, y el valor predeterminado es de 90 minutos con un poco de aleatoriedad incorporado para evitar que todos los ordenadores de la refrescante al
mismo tiempo. Si cambia un GPO en la mitad del día, la directiva de grupo va a aplicar los cambios dentro de unos 90 minutos. Usted no tiene que esperar
hasta el final del día, cuando los usuarios han cerrado la sesión o reiniciado sus equipos. En escenarios avanzados, puede cambiar el intervalo de actualización
predeterminado.

Nota

Puede actualizar manualmente la directiva de grupo en cualquier momento utilizando el comando Gpupdate.exe. Por ejemplo, después de actualizar un
GPO, es posible que desee actualizar la directiva de grupo en un equipo con el fin de probar los cambios sin esperar a que el intervalo de actualización de
directiva de grupo. Para obtener instrucciones paso a paso, véase la sección titulada “clientes Actualizando” más adelante en este documento.

https://technet.microsoft.com/en­us/library/hh147307(d=printer,v=ws.10).aspx 5/14
2017­5­5 Directiva de grupo para principiantes

Las tareas esenciales de directiva de grupo

Ahora ha aprendido los conceptos esenciales de directiva de grupo. Usted sabe que un GPO es como un documento que contiene la configuración de
directivas. A administrar GPO mediante GPMC y se edita mediante el uso de la GPME.

También sabe que se vincula GPO a sitios de AD DS, dominios y unidades organizativas para aplicar valores de los GPO a esos contenedores. Dominios,
unidades organizativas unidades organizativas y secundarios heredan la configuración de sus padres, pero duplicar la configuración de GPO vinculados a
unidades organizativas secundarias tienen prioridad sobre los mismos ajustes en los GPO vinculados a las UO, que tienen precedencia sobre los GPO
vinculados al dominio, y así sucesivamente.

También sabe que dentro de un sitio, dominio o unidad organizativa, el orden de enlace determina el orden de precedencia ﴾cuanto menor sea el número,
mayor será la prioridad﴿. Por último, usted tiene una comprensión esencial de la forma de editar los GPO y qué tipo de configuración que contienen.

Ahora que ya conoce los conceptos esenciales, ya está listo para aprender las tareas esenciales. En esta sección se describe cómo crear, editar y eliminar los
GPO. En él se describen muchas otras tareas, también. Para cada tarea, encontrará una explicación de sus instrucciones de uso y paso a paso con capturas de
pantalla en cada paso.

Nota

Una característica del Microsoft Desktop Optimization Pack ﴾MDOP﴿ llama Administración de directivas de grupos ﴾AGPM﴿ se extiende de directiva de
grupo con nuevas capacidades tales como la edición fuera de línea, control de versiones, y la delegación basada en roles. Cualquier organización puede
beneficiarse del uso de AGPM para administrar la directiva de grupo. Para obtener más información acerca de AGPM, consulte Mejora de la directiva de
grupo a través de la gestión del cambio .

La creación de un GPO
Se crea un GPO mediante GPMC. Hay dos maneras de crear un GPO:

Crear y vincular un GPO en un solo paso.

Crear un GPO en la directiva de grupo de objetos de carpeta, y luego vincularlo al dominio o unidad organizativa.

Las instrucciones de esta sección describen cómo crear y vincular un GPO en un solo paso.

Puede comenzar con un GPO en blanco, que las instrucciones se describe, o puede utilizar un motor de arranque GPO. GPO de inicio son un tema avanzado
que se puede aprender acerca de trabajar con GPO de inicio .

Para crear y vincular un GPO en el dominio o una unidad organizativa

1 En GPMC, haga clic en el dominio o unidad organizativa en la que desea crear y vincular un GPO y
haga clic en Crear un GPO en este dominio y vincularlo aquí .

2 En el Nombre de caja en el Nuevo GPO cuadro de diálogo, escriba un nombre descriptivo para el
GPO y, a continuación, haga clic en OK .

Edición de GPO
En GPMC, puede abrir GPO en el GPME editarlos dentro de cualquier contenedor. Para ver todos los GPO, independientemente de dónde se les vincula, utilice
los objetos de directiva de grupo de carpeta para editarlos.

https://technet.microsoft.com/en­us/library/hh147307(d=printer,v=ws.10).aspx 6/14
2017­5­5 Directiva de grupo para principiantes

Para editar un GPO en el dominio, una unidad organizativa o la directiva de grupo de objetos de carpeta

1 En el panel izquierdo de la GPMC, haga clic en los objetos de directiva de grupo para mostrar
todos los GPO del dominio en el panel derecho. Como alternativa, puede hacer clic en el dominio o
cualquier unidad organizativa para mostrar los GPO de ese contenedor en el panel derecho.

2 En el panel derecho de la GPMC, haga clic en el GPO que desea editar y haga clic en Editar para
abrir el GPO en el GPME.

3 En el GPME, editar la configuración de directiva de grupo que desea cambiar, y cerrar la ventana
GPME cuando haya terminado. Usted no tiene que guardar los cambios, ya que el GPME guarda los
cambios automáticamente.

Vincular un GPO
Si crea y enlace de GPO en un solo paso, que no tiene que unir manualmente los GPO al dominio o unidades organizativas. Sin embargo, si crea un GPO en la
directiva de grupo de objetos de carpeta o desvincular un GPO y quiere restaurarlo, tendrá que enlazar manualmente el GPO. La forma más fácil de vincular
un GPO es simplemente arrastrar el GPO de la directiva de grupo de objetos de carpeta y soltarlo en el dominio o unidad organizativa a la que desea
vincularlo.

Para vincular un GPO a un dominio o unidad organizativa

1 En GPMC, haga clic en el dominio o unidad organizativa a la que desea vincular el GPO y, a
continuación, haga clic en Vincular un GPO existente .

2 En el Seleccionar GPO cuadro de diálogo, haga clic en el GPO que desea vincular al dominio o
unidad organizativa y haga clic en OK .

https://technet.microsoft.com/en­us/library/hh147307(d=printer,v=ws.10).aspx 7/14