18

Configuración y administración de
entornos de usuario mediante

Directiva de grupo
Contenido
Introducción 2
Lección: Configuración de opciones de directiva de grupo 3
Lección: Uso de plantillas administrativas en Directiva de grupo para controlar entornos de usuario 12
Lección: Uso de plantillas de seguridad para proteger un equipo 21
Lección: Prueba de la directiva de seguridad de un equipo 36
Lección: Asignación de archivos de comandos para controlar los entornos de usuario mediante Directiva
de grupo 40
Lección: Determinar los GPO aplicados 50
2 Configuración y administración de entornos de usuario mediante Directiva de grupo
Introducción
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
Introducción Este módulo se centra en ofrecer los conocimientos y la preparación que un

administrador de sistemas debe tener para administrar entornos de usuario
mediante directivas de grupo.
Objetivos Después de finalizar este módulo, podrá:
Configurar las opciones de directivas de grupo.
Utilizar plantillas administrativas, en Directiva de grupo, con el fin de
controlar el entorno del usuario.
Utilizar plantillas de seguridad para proteger equipos.
Utilizar directivas de grupo para asignar archivos de comandos que
controlen los entornos de usuario.
Determinar los objetos de directiva de grupo (GPO, Group Policy
Object) aplicados.
Configuración y administración de entornos de usuario mediante Directiva de grupo 3
Lección: Configuración de opciones de directiva

de grupo
Introducción Después de finalizar esta lección, podrá configurar opciones de directivas

de grupo.
Objetivos de la lección Después de finalizar esta lección, podrá:
Explicar por qué se utilizan directivas de grupo.
Explicar qué significa habilitar o deshabilitar opciones de configuración de
directivas de grupo.
Modificar una opción de configuración de directiva de grupo.
Por qué se utilizan directivas de grupo para administrar entornos

de usuario
Introducción La administración de entornos de usuario implica controlar lo que los usuarios

pueden hacer cuando inician una sesión en la red. Para ello, se controlan sus
escritorios, conexiones de red e interfaces de usuario a través de directivas de
grupo. El entorno de un usuario se administra con el fin de asegurar que éste
disponga de todo lo necesario para realizar su trabajo pero no pueda dañar ni
configurar incorrectamente dicho entorno.
Tareas que pueden Al configurar y administrar de forma centralizada los entornos de usuario, es
realizarse mediante posible realizar las tareas siguientes:
directivas de grupo
Administrar usuarios y equipos
Al administrar la configuración del escritorio mediante directivas basadas
en el Registro, se asegura de que los usuarios tengan el mismo entorno de
sistema aunque inicien sesión desde equipos diferentes. Es posible controlar
cómo Microsoft® Windows Server™ 2003 administra los perfiles de usuario,
lo que incluye el modo en que pueden tener acceso a sus datos personales.
Al redirigir las carpetas de usuario de los discos duros locales de un usuario
a una ubicación central situada en un servidor, puede asegurarse de que el
usuario pueda tener acceso a los datos independientemente del equipo en el
que inicie sesión.
Implementar software
El software para los usuarios se implementa en los equipos a través del
servicio de directorio Active Directory®. Gracias a la implementación de
software, es posible garantizar que los usuarios tengan los programas,
Service Packs y hotfixes que necesiten.
Exigir la aplicación de una configuración de seguridad

Mediante Directiva de grupo en Active Directory, el administrador de
sistemas puede aplicar de forma centralizada la configuración de seguridad
necesaria para proteger el entorno de un usuario. En Windows Server 2003,
puede utilizar la extensión Configuración de seguridad (Security Settings) de
Directiva de grupo con el fin de definir la configuración de seguridad para
las directivas de seguridad locales y de dominio.
Exigir el uso de un entorno de escritorio coherente
Las opciones de configuración de directivas de grupo proporcionan una
forma eficaz para exigir la aplicación de estándares, por ejemplo, mediante
la configuración de contraseñas y archivos de comandos de inicio de sesión.
Así, podría impedir que los usuarios realicen cambios en sus escritorios que
puedan provocar que su entorno se vuelva más complejo de lo necesario.
Lecturas adicionales Para obtener más información acerca de la administración del escritorio, consulte:
“Windows 2000 Desktop Management Overview” en la dirección
http://www.microsoft.com/windows2000/techinfo/howitworks/
management/ccmintro.asp (en inglés).
“Introduction to Windows 2000 Group Policy” en la dirección
http://www.microsoft.com/windows2000/techinfo/howitworks/
management/grouppolicyintro.asp (en inglés).
El grupo de noticias de Directiva de grupo en la dirección
http://www.microsoft.com/windows2000/community/
newsgroups/ (en inglés).
Qué significa habilitar o deshabilitar opciones de configuración

de objetos de directiva de grupo
Por qué se deshabilita Si deshabilita una opción de configuración de directiva, deshabilita la acción de la
una opción de misma. Por ejemplo, de forma predeterminada, los usuarios pueden tener acceso
configuración al Panel de control. No es necesario deshabilitar la opción de configuración de
de directiva directiva Prohibir el acceso al Panel de control para permitir dicho acceso a un
usuario a menos que una opción de configuración de una directiva que se haya
aplicado anteriormente la haya habilitado. En esta situación, se debe configurar
otra opción de directiva que deshabilite la aplicada.
Esto resulta útil cuando existen opciones de configuración heredadas y no se
desea utilizar el filtrado para aplicarlas en un grupo y no en otro. Es posible
aplicar un GPO que habilite una opción de configuración de directiva en la
unidad organizativa primaria y otra opción que deshabilite el GPO en una
unidad organizativa secundaria.
Habilitar una opción Si habilita una opción de configuración de directiva, habilita la acción de
de configuración la misma. Por ejemplo, para revocar el acceso de algún usuario al Panel de
de directiva control, debe habilitar la opción de configuración de directiva Prohibir el
acceso al Panel de control.
Configuración de Un GPO contiene los valores que cambian el Registro con respecto a los
una directiva con usuarios y equipos sujetos a dicho GPO. La configuración predeterminada
las opciones de de una opción de directiva es No configurado. Si desea volver a establecer
configuración locales el valor predeterminado de una directiva de equipo o de usuario, o la
o predeterminadas configuración de la directiva local, seleccione la opción No configurado.
Por ejemplo, es posible que desee habilitar la configuración de una directiva
para algunos clientes y, mediante la opción No configurado, revertir a la
configuración predeterminada de la directiva local.
Configuración de Algunos GPO precisan que se proporcione información adicional una vez
directivas con habilitados. En ocasiones, puede ser necesario seleccionar un grupo o un
varios valores equipo si la configuración de directiva exige que se redirija al usuario a alguna
información. En otras ocasiones, como se muestra en la diapositiva, para
habilitar la configuración del proxy se debe proporcionar el nombre o la
dirección IP (Internet Protocol o Protocolo de Internet) del servidor proxy y
el número de puerto. Si una opción de configuración de directiva tiene varios
valores y entran en conflicto con el de otra opción, los valores conflictivos son
reemplazados por los últimos valores aplicados.
Nota La ficha Configuración indica los sistemas operativos que admiten la

opción de configuración de la directiva.
La ficha Explicación contiene información acerca de los efectos de las
opciones Habilitada y Deshabilitada en la cuenta de equipo y de usuario.
Cómo modificar una opción de configuración de directiva de grupo
Introducción Como administrador de sistemas, debe modificar las opciones de configuración

de directivas de grupo. Para realizar esta tarea, siga este procedimiento:
Procedimiento Para modificar una opción de configuración de directiva de grupo:
1. En Group Policy Management Console, en el árbol de la consola, vaya
a Group Policy Objects (Objetos de directiva de grupo).
2. Haga clic con el botón secundario del mouse (ratón) en un GPO y,
a continuación, haga clic en Edit (Edición).
3. En Editor de objetos de directiva de grupo, vaya a la opción de
configuración de directiva de grupo que desee modificar y, a continuación,
haga doble clic en ella.
4. En el cuadro de diálogo Propiedades, configure la opción de directiva de
grupo y haga clic en Aceptar.
Ejercicio: Modificación de la configuración de directivas de grupo
Objetivo En este ejercicio, modificará la configuración de una directiva de grupo.

Instrucciones Antes de comenzar este ejercicio:
Inicie una sesión en el dominio con la cuenta NombreDeEquipoUser.
Abra CustomMMC con el comando Ejecutar como.
Utilice la cuenta de usuario Nwtraders\NombreDeEquipoAdmin (por
ejemplo, LondonAdmin).
Compruebe que CustomMMC contiene los complementos siguientes:
• Usuarios y equipos de Active Directory
• Group Policy Management Console
Repase los procedimientos de esta lección que describen cómo realizar
esta tarea.
Situación de ejemplo Northwind Traders debe implementar el GPO NombreDeEquipo

Standard Desktop. Este GPO está vinculado a la unidad organizativa
IT Test/NombreDeEquipo del entorno de pruebas y a la unidad organizativa
Locations/NombreDeEquipo del entorno de producción. Primero debe
deshabilitar el vínculo para el entorno de producción. Después, Northwind
Traders desea implementar la siguiente configuración de directiva de grupo
en el GPO NombreDeEquipo Standard Desktop.
Quitar el menú Ejecutar del menú Inicio
Prohibir el acceso al Panel de control
Ocultar el icono Mis sitios de red del escritorio
Quitar Conexiones de red del menú Inicio
Quitar “Conectar a unidad de red” y “Desconectar de unidad de red”
Ejercicio Compruebe que los vínculos de GPO están configurados

• Compruebe que el GPO NombreDeEquipo Standard Desktop está vinculado
a la unidad organizativa Locations/NombreDeEquipo.
Configure el filtrado de seguridad

Ubicación: Locations/NombreDeEquipo
Vínculo de GPO: NombreDeEquipo Standard Desktop
Filtrado de seguridad:
• Quitar el filtrado de todos los grupos de seguridad
• Agregar el grupo Todos
Deshabilite un vínculo de GPO

Modifique un GPO
• GPO: NombreDeEquipo Standard Desktop
Quite Ejecutar del menú Inicio

Ubicación: Configuración de usuario/Plantillas administrativas/
Menú Inicio y barra de tareas
Opción de configuración de directiva de grupo: Quitar el menú Ejecutar
del menú Inicio
Opción: Habilitada
Deshabilite el acceso al Panel de control

Ubicación: Configuración de usuario/Plantillas administrativas/Panel
de control
Opción de configuración de directiva de grupo: Prohibir el acceso al Panel
de control
Opción: Habilitada
Oculte el icono Mis sitios de red del escritorio

Ubicación: Configuración de usuario/Plantillas administrativas/Escritorio
Opción de configuración de directiva de grupo: Ocultar el icono Mis sitios
de red del escritorio
Opción: Habilitada
Quite Conexiones de red del menú Inicio

Opción de configuración de directiva de grupo: Quitar Conexiones de red
del menú Inicio
Opción: Habilitada
Quite “Conectar a unidad de red” y “Desconectar de unidad de red”

Componentes de Windows/Explorador de Windows
Opción de configuración de directiva de grupo: Quitar “Conectar a
unidad de red” y “Desconectar de unidad de red”
Opción: Habilitada
Habilite un vínculo de GPO

Cree una cuenta de usuario

1. Si no existe una cuenta de usuario, cree una con las propiedades siguientes:
• Nombre: NombreDeEquipo
• Apellido: Test
• Nombre de inicio de sesión de usuario: NombreDeEquipoTest
• Contraseña: P@ssw0rd
• Unidad organizativa: Locations/NombreDeEquipo/Users
2. Cierre la sesión.
Inicie una sesión

1. Inicie una sesión como NombreDeEquipoTest con la contraseña P@ssw0rd.
2. Compruebe que se cumple lo siguiente:
• Ejecutar se ha quitado del menú Inicio.
• El Panel de control se ha quitado del menú Inicio.
• El icono Mis sitios de red está oculto en el escritorio.
• Conexiones de red se ha quitado del menú Inicio.
• Conectar a unidad de red y Desconectar de unidad de red se han
quitado del Explorador de Windows.
3. Cierre la sesión.
Lección: Uso de plantillas administrativas en Directiva de

grupo para controlar entornos de usuario
Introducción Las plantillas administrativas pueden utilizarse para controlar los entornos de
usuario e impedir que los usuarios dañen su entorno o utilicen aplicaciones,
software o archivos que no necesiten.
Mediante la extensión Plantillas administrativas (Administrative Templates)
de Directiva de grupo, es posible configurar el entorno de varios usuarios y
equipos a la vez, y dejar que la familia de Windows Server 2003 continúe
aplicando dichas opciones de configuración.
La opción Plantillas administrativas está disponible tanto para cuentas de
usuario como para cuentas de equipo. El entorno de los usuarios se controla
mediante la configuración de opciones administrativas específicas que limiten
la capacidad de un usuario para cambiar la configuración de su escritorio y
restringir su acceso a los recursos de red y a herramientas administrativas
y aplicaciones.
Explicar qué son las plantillas administrativas.
Explicar cómo se aplican en un equipo las opciones de configuración de una
plantilla administrativa.
Describir los tipos de opciones de configuración de plantillas
administrativas disponibles.
Configurar las opciones de las plantillas administrativas.
Qué son las plantillas administrativas
Definición Una plantilla administrativa es una colección de opciones de configuración

de directivas de grupo que modifican la configuración del Registro. Plantillas
administrativas, en Directiva de grupo, se utiliza para configurar opciones
del Registro relativas a usuarios y a equipos que permiten controlar áreas
específicas del entorno de trabajo del usuario, como escritorios, opciones de
interfaz, componentes del sistema operativo y valores predeterminados de las
opciones de configuración de las aplicaciones.
Ubicaciones del Las opciones de configuración de plantillas administrativas y los valores que la
Registro relacionadas familia de Windows Server 2003 aplica se almacenan en el archivo Registro.pol de
con plantillas la plantilla Directiva de grupo de los controladores de dominio. Hay dos archivos:
administrativas uno para la configuración de equipos y otro para la configuración de usuarios.
Nota La ruta de acceso del archivo Registry.pol es systemroot\Sysvol\Sysvol\

NombreDeDominio\Policies\identificador_GUID_De_GPO\Machine o \User.
Claves del Registro Las opciones de configuración de plantillas administrativas modifican los
relacionadas valores que se encuentran en las siguientes claves del Registro:
con plantillas
administrativas HKEY_LOCAL_MACHINE (HKLM)
Cuando se inicia un equipo, las opciones de configuración de directivas
de grupo contenidas en la parte Configuración del equipo de los objetos de
directiva de grupo (GPO) que se aplican al equipo se registran en las claves
SOFTWARE\Policies o \SOFTWARE\Microsoft\Windows\CurrentVersion\
Policies, que se encuentran bajo la clave HKLM.
HKEY_CURRENT_USER (HKCU)
Cuando un usuario inicia una sesión en un equipo, las opciones de
configuración de directivas de grupo contenidas en la parte Configuración
de usuario de los GPO que se aplican al usuario se registran en las claves
SOFTWARE\Policies o \SOFTWARE\Microsoft\Windows\CurrentVersion\
Policies, que se encuentran bajo la clave HKCU.
Cómo se resuelven La familia de Windows Server 2003 aplica las opciones de configuración
los conflictos en de directivas de grupo y la configuración predeterminada del Registro a los
las opciones de usuarios y los equipos. Si se producen conflictos entre ellas, prevalece la
configuración de configuración de las directivas de grupo. Si el GPO que contiene la
directivas de grupo configuración que afecta a la cuenta de usuario o de equipo deja de aplicarse,
por ejemplo, si el GPO se quita o si la cuenta se mueve a una ubicación en la
que éste no se aplica, la opción se quitará del Registro la próxima vez que se
actualice la directiva de grupo y se aplican las opciones de configuración
predeterminadas del Registro.
Cómo se aplica en un equipo la configuración de una plantilla

administrativa
Aplicación de opciones El siguiente proceso ilustra la forma en que un equipo con un sistema de la
de configuración familia de Windows Server 2003 aplica la configuración de una plantilla
durante el proceso de administrativa durante el proceso de inicio del sistema:
inicio del sistema
1. Cuando el equipo cliente se inicia, recupera la lista de objetos GPO que
contienen las opciones de configuración del equipo y determina el orden
en que deben aplicarse.
2. El equipo cliente se conecta a la carpeta SYSVOL en el controlador de
dominio que realiza la autenticación. El equipo cliente busca entonces los
archivos Registry.pol en la carpeta Machine en la plantilla de Directiva de
grupo para cada GPO que contiene la configuración de la plantilla
administrativa que se aplica al equipo.
3. El equipo cliente graba las opciones de configuración del Registro y sus
valores en el archivo Registry.pol en el subárbol apropiado del Registro.
El equipo sigue inicializando el sistema operativo y aplica la configuración
del Registro.
4. Cuando la configuración del Registro se ha aplicado, aparece el cuadro de
diálogo Inicio de sesión.
Aplicación de opciones El siguiente proceso ilustra la forma en que un equipo con un sistema de la
de configuración familia de Windows Server 2003 aplica la configuración de una plantilla
durante el proceso administrativa durante el proceso de inicio de sesión:
de inicio de sesión
1. Una vez que el usuario ha iniciado el proceso de inicio de sesión, el equipo
cliente recupera la lista de objetos GPO que contienen las opciones de
configuración del usuario y determina el orden en que deben aplicarse.
2. El equipo cliente se conecta a la carpeta SYSVOL en el controlador de
dominio que realiza la autenticación. El equipo cliente busca entonces los
archivos Registry.pol en la carpeta User en la plantilla de Directiva de grupo
para cada GPO que contiene la configuración de la plantilla administrativa
que se aplica al usuario.
3. El equipo cliente graba las opciones de configuración del Registro y sus
valores en el archivo Registry.pol en el subárbol apropiado del Registro.
El equipo continúa el proceso de inicio de sesión y aplica la configuración
del Registro.
4. Una vez aplicada, en el equipo cliente se muestra el escritorio del usuario.
Tipos de opciones de configuración de plantillas administrativas
Introducción Las opciones de configuración de plantillas administrativas se organizan

en ocho tipos, disponibles para aplicarse a usuarios, equipos o a ambos.
Las opciones de equipo se centran en la administración de la familia de
Windows Server 2003, mientras que las de usuario se centran en controlar
cómo pueden influir los usuarios en sus entornos de escritorio.
Tipos de opciones En la tabla siguiente se enumeran los tipos de opciones de configuración de la
de plantillas extensión Plantillas administrativas.
administrativas
Tipo de opción Controla Disponible para
Componentes de Las herramientas y componentes de la familia Equipos y

Windows de Windows Server 2003 a los que los usuarios usuarios
pueden obtener acceso. Esto incluye el control
del acceso de los usuarios a Microsoft
Management Console (MMC).
Sistema Procedimientos de inicio y cierre de sesión. Equipos y
Mediante la opción Sistema, puede administrar usuarios
directivas de grupo y actualizar intervalos,
habilitar cuotas de disco e implementar el
procesamiento de bucles invertidos.
Red Las propiedades de las conexiones de red y de Equipos y
acceso telefónico, incluido el acceso a redes usuarios
compartidas.
Impresoras La configuración de impresoras puede Equipos
hacer que las impresoras se publiquen
automáticamente en Active Directory y
deshabilitar la impresión basada en el Web.
(continuación)
Tipo de opción Controla Disponible para
Menú Inicio y Las características a las que los usuarios pueden Equipos y
barra de tareas tener acceso desde el menú Inicio. Por ejemplo, usuarios
si quita el comando Ejecutar, impide que los
usuarios ejecuten aplicaciones para las que no
haya ningún icono o acceso directo. También
puede hacer que el menú Inicio sea de sólo
lectura y deshabilitar la capacidad del usuario
para hacer cambios.
Escritorio Microsoft Active Desktop®. Puede controlar la Usuarios
capacidad de los usuarios para tener acceso a la
red y a Internet si oculta los iconos apropiados
del escritorio y controla lo que los usuarios
pueden hacer con su carpeta Mis documentos.
Panel de control Varias aplicaciones del Panel de control. Por Usuarios
ejemplo, puede restringir el uso de Agregar o
quitar programas, Pantalla e Impresoras.
Carpetas Controlar si las carpetas compartidas y las Usuarios
compartidas raíces del Sistema de archivos distribuido
(DFS, Distributed File System) se publican
en Active Directory.
Nota La familia de Windows Server 2003 permite agregar plantillas

adicionales a Plantillas administrativas en Directiva de grupo si las plantillas
preconfiguradas no ofrecen las opciones de configuración requeridas.
Cómo configurar una plantilla administrativa
Introducción Para implementar la configuración de plantillas administrativas, establezca las

opciones en la extensión Plantillas administrativas, en Directiva de grupo.
Procedimiento para Para configurar una opción, puede seleccionar uno de los tres estados
configurar una opción siguientes:
mediante la selección
del estado No configurada. La familia de Windows Server 2003 pasa por alto la
opción y no realiza cambios en el equipo. Este estado no especifica un
cambio de valor en el Registro.
Habilitada. La familia de Windows Server 2003 aplica la opción y agrega
el cambio al archivo Registry.pol correspondiente.
Deshabilitada. La familia de Windows Server 2003 evita que se aplique la
opción y agrega el cambio al archivo Registry.pol correspondiente.
Para seleccionar el estado, utilice la ficha Configuración del cuadro de diálogo

Propiedades de la opción de configuración de directiva de grupo. Es posible
que tenga que proporcionar información adicional, por ejemplo, una lista de
programas que ejecutar al iniciar sesión o un tamaño de cuota de disco.
Procedimiento para Para obtener acceso a la ficha Configuración de una opción de configuración
tener acceso a una de plantilla administrativa:
opción de configuración
de plantilla 1. En Group Policy Management Console, en el árbol de la consola, vaya a
administrativa Group Policy Objects (Objetos de directiva de grupo).
2. Haga clic con el botón secundario del mouse (ratón) en el GPO y, a
continuación, haga clic en Edit (Edición).
3. En Editor de objetos de directiva de grupo, expanda Configuración
del equipo o Configuración de usuario, y, después, expanda Plantillas
administrativas hasta que encuentre la opción de configuración que
desee modificar, por ejemplo, Configuración de usuario\Plantillas
administrativas\Escritorio.
4. En el panel de detalles de Editor de objetos de directiva de grupo, haga
doble clic en la opción de configuración de directiva de grupo que desee
modificar.
5. En el cuadro de diálogo Propiedades, configure la opción de directiva de
grupo y haga clic en Aceptar.
Lección: Uso de plantillas de seguridad para proteger

un equipo
Introducción Las plantillas de seguridad se utilizan con el fin de crear y alterar directivas
de seguridad de modo que cumplan las necesidades de seguridad de una
organización. También pueden implementarse directivas de seguridad de
varias formas diferentes. El método que utilice dependerá del tamaño y de las
necesidades de seguridad de su organización. Las organizaciones de menor
tamaño o aquéllas que no utilicen Active Directory pueden configurar la
seguridad manualmente, de forma individualizada. Si la organización es grande
o requiere un alto nivel de seguridad, tenga en cuenta la posibilidad de utilizar
objetos de directiva de grupo para implementar directivas de seguridad.
Explicar qué es una directiva de seguridad.
Explicar qué son las plantillas de seguridad.
Describir las opciones de configuración de plantillas de seguridad.
Crear una plantilla de seguridad personalizada.
Importar una plantilla de seguridad.
Qué es una directiva de seguridad
Introducción Una directiva de seguridad es una combinación de opciones de configuración

que afectan a la seguridad de un equipo. Se utiliza para establecer directivas
de cuentas y directivas locales en un equipo local y en Active Directory.
Directiva de seguridad Utilice la directiva de seguridad de un equipo local para modificar directamente
en un equipo local directivas de cuentas y locales, directivas de claves públicas y directivas de
Seguridad de Protocolo Internet (IPSec, Internet Protocol Security) en un
equipo local.
Con una directiva de seguridad local puede controlar:
Quién tiene acceso a un equipo.
Qué recursos están autorizados a utilizar los usuarios en un equipo.
Si las acciones de los usuarios o grupos se graban en el registro de sucesos.
Si en la red no se utiliza Active Directory, puede configurar la directiva de
seguridad mediante Directiva de seguridad local, que se encuentra en el menú
Herramientas administrativas en los equipos con Windows Server 2003.
Directivas de seguridad Las directivas de seguridad en Active Directory tienen las mismas opciones
en Active Directory de configuración de seguridad que en un equipo local. Sin embargo, los
administradores de redes basadas en Active Directory pueden ahorrar mucho
tiempo en tareas administrativas si utilizan directivas de grupo para implementar
la directiva de seguridad. La configuración de seguridad puede modificarse o
importarse a un GPO para cualquier sitio, dominio o unidad organizativa, y se
implementará automáticamente en los equipos cuando se inicien. Cuando
modifique un objeto de directiva de grupo, expanda Configuración del equipo
o Configuración de usuario y, después, expanda Configuración de Windows
para buscar la configuración de la directiva de seguridad.
Lecturas adicionales Para obtener más información acerca de los derechos predeterminados de
los usuarios de dominio, consulte el artículo de Microsoft Knowledge Base
324800, “CÓMO: Restablecer derechos de usuario en la directiva de grupo
del dominio predeterminada en Windows Server 2003”, en la dirección
http://support.microsoft.com/default.aspx?scid=kb;es;324800.
Qué son las plantillas de seguridad
Definición Una plantilla de seguridad es una colección de opciones de configuración de

seguridad con valores asignados. Windows Server 2003 proporciona plantillas
de seguridad predefinidas que contienen las opciones de configuración de
seguridad recomendadas para diferentes situaciones.
Las plantillas de seguridad predefinidas se utilizan con el fin de crear directivas
de seguridad que se pueden personalizar para satisfacer diferentes necesidades
organizativas. Las plantillas se personalizan con el complemento Plantillas de
seguridad. Una vez personalizadas las plantillas de seguridad predefinidas,
pueden utilizarse para configurar la seguridad en un equipo o en miles de equipos.
Cómo se aplican las Puede configurar un equipo con el complemento Configuración y análisis de
plantillas de seguridad seguridad o en la herramienta de línea de comandos secedit, o si importa la
plantilla a la directiva de seguridad local.
El complemento Configuración y análisis de seguridad es la herramienta que
más se utiliza para analizar la seguridad de un equipo. Esta herramienta se
trata con más detalle en la lección “Prueba de la directiva de seguridad de un
equipo”, en este módulo. Es posible configurar varios equipos al importar una
plantilla en Configuración de seguridad, que es una extensión de Directiva
de grupo.
Asimismo, puede utilizarse una plantilla de seguridad como línea de base para
analizar un sistema en busca de posibles brechas en la seguridad o infracciones
de directivas mediante el complemento Configuración y análisis de seguridad.
De forma predeterminada, las plantillas de seguridad predefinidas se almacenan
en systemroot/Security/Templates.
Plantillas predefinidas Windows Server 2003 proporciona las siguientes plantillas predefinidas:
Seguridad predeterminada (Setup security.inf)
La plantilla Setup security.inf se crea en cada equipo al instalar el sistema
operativo y representa la configuración de seguridad predeterminada que se
aplica durante la instalación, con los permisos de archivo de la raíz de la
unidad del sistema. La plantilla puede variar entre los distintos equipos,
dependiendo de si la instalación se hizo a partir de cero (actualización
completa) o fue una actualización. Puede utilizar esta plantilla en servidores
y equipos cliente, pero no en controladores de dominio. Puede aplicar
fragmentos de esta plantilla para la recuperación de desastres.
La configuración de seguridad predeterminada sólo se aplica en
instalaciones completas de Windows Server 2003 en particiones NTFS.
Cuando se actualizan equipos desde Microsoft Windows NT® versión 4.0, la
seguridad no se modifica. Además, cuando se instala Windows Server 2003
en un sistema de archivos FAT (File Allocation Table o Tabla de asignación
de archivos), no se aplica ninguna seguridad al mismo.
Seguridad predeterminada en controladores de dominio (DC security.inf)
La plantilla DC security.inf se crea cuando un servidor es promovido a
controlador de dominio. Refleja la configuración de seguridad
predeterminada en archivos, claves del Registro y servicios del sistema.
Al volver a aplicarse, se restablecen los valores predeterminados de las
opciones de configuración pero pueden sobrescribirse permisos en los
archivos nuevos, las claves del Registro y los servicios del sistema que otras
aplicaciones creen. Puede aplicarla mediante el complemento Configuración
y análisis de seguridad o la herramienta de línea de comandos secedit.
Compatible (Compatws.inf)
Los permisos predeterminados para las estaciones de trabajo y los
servidores se conceden principalmente a tres grupos locales:
Administradores, Usuarios avanzados y Usuarios. Los integrantes del grupo
Administradores tienen la mayor parte de los privilegios mientras que los
que pertenecen al grupo Usuarios tienen muy pocos.
Estos últimos pueden ejecutar aplicaciones que formen parte del programa
del logotipo de Windows para software. Sin embargo, no pueden ejecutar
aplicaciones que no cumplan los requisitos del programa. Si se van a utilizar
otras aplicaciones, la plantilla Compatws.inf cambia los permisos
predeterminados del Registro y de los archivos que se conceden al grupo
Usuarios. Los permisos nuevos son coherentes con los requisitos de la
mayor parte de las aplicaciones que no participan en el programa del
logotipo de Windows para software.
Seguras (Secure*.inf)
Las plantillas de este tipo definen opciones de configuración de seguridad
mejoradas que es menos probable que afecten a la compatibilidad de las
aplicaciones. Por ejemplo, estas plantillas definen opciones de
configuración de contraseñas más seguras, bloqueo y auditoría.
Muy seguras (hisec*.inf)

Las plantillas hisec*.inf son superconjuntos de las plantillas Secure*.inf.
Imponen más restricciones en los niveles de cifrado y firma que se requieren
para la autenticación y para los datos que fluyen a través de canales seguros
y entre los clientes y los servidores de bloques de mensajes de servidor
(SMB, Server Message Block).
Seguridad en la raíz del sistema (Rootsec.inf)
De forma predeterminada, Rootsec.inf define los permisos para la raíz de la
unidad del sistema. Puede utilizar esta plantilla para volver a aplicar los
permisos en directorios raíz si se cambian de forma inadvertida o puede
modificar esta plantilla si desea aplicar los mismos permisos en los
directorios raíz de otros volúmenes. Según se especifica, la plantilla no
sobrescribe los permisos explícitos que se definan en los objetos
secundarios. Solamente propaga los permisos que éstos heredan.
Seguridad en Internet Explorer (Iesascls.inf)
Esta plantilla crea listas de control de acceso del sistema (SACL, System
Access Control List) para auditar los cambios efectuados en la configuración
de Internet Explorer y establece listas de control de acceso (ACL) en las
claves del Registro correspondientes a Internet Explorer para el grupo
Usuarios autenticados.
Lecturas adicionales Para obtener más información acerca de cómo aplicar directivas de seguridad,
consulte el artículo 325351 de Microsoft Knowledge Base, “CÓMO: Aplicar
directivas locales a todos los usuarios, excepto los administradores, en
Windows Server 2003 en una configuración de grupo de trabajo”, en la
dirección http://support.microsoft.com/default.aspx?scid=kb;es;325351.
Para obtener más información acerca de secedit, consulte “Secedit”
en http://www.microsoft.com/technet/treeview/default.asp?url=/
technet/prodtechnol/windowsserver2003/proddocs/datacenter/
secedit_cmds.asp?frame=true (en inglés).
Qué son las opciones de configuración de plantillas de seguridad
Introducción Las plantillas de seguridad contienen opciones de configuración para todas

las áreas de la seguridad. Puede aplicar plantillas a un equipo individual o
implementarlas en grupos de equipos mediante directivas de grupo. Cuando
aplica una plantilla a una configuración de seguridad existente, la configuración
de la plantilla se combina con la configuración de seguridad del equipo.
Puede establecer y analizar la configuración de seguridad de los equipos con
la extensión Configuración de seguridad de Directiva de grupo o mediante
Configuración y análisis de seguridad.
Tipos de opciones de En la lista siguiente se describe cada una de las opciones de configuración de
configuración de las plantillas de seguridad:
plantillas de seguridad
Directivas de cuenta
Puede utilizar opciones de configuración de directivas de cuenta para
configurar directivas de contraseña, de bloqueo de cuentas y del protocolo
Kerberos versión 5 (V5) para el dominio. La directiva de cuenta de
un dominio define el historial de contraseñas, la duración de los vales
de Kerberos V5, los bloqueos de cuentas, etc.
Directivas locales
Las directivas locales son, por definición, locales a los equipos. Las
directivas locales incluyen directivas de auditorías, la asignación de
derechos y permisos de usuario, y varias opciones de seguridad que
puede configurar de forma local.
Es importante no confundir la configuración de directivas locales con
establecer las directivas de forma local. Al igual que en todas estas opciones
de configuración de seguridad, puede configurar estas opciones mediante
Directiva de seguridad local y mediante directivas de grupo.
Registro de sucesos
Puede utilizar las opciones del registro de sucesos para configurar
parámetros de tamaño, acceso y conservación de los registros de aplicación,
de sistema y de seguridad.
Grupos restringidos
La configuración del grupo restringido permite administrar la pertenencia
de grupos integrados que tienen ciertas capacidades predefinidas, como
Administradores y Usuarios avanzados, además de los grupos de dominio,
como Administradores del dominio. Es posible agregar otros grupos al
grupo restringido, junto con la información de cuáles son sus integrantes.
Esto permite hacer un seguimiento de estos grupos y administrarlos como
parte de una directiva de seguridad.
La opción de configuración de grupos restringidos también puede utilizarse
para realizar el seguimiento y controlar la pertenencia inversa, es decir, a
qué otros grupos pertenece cada grupo restringido. La pertenencia inversa se
enumera en la columna Miembros de, que muestra los grupos a los que el
grupo restringido debe pertenecer.
Servicios del sistema
Esta opción permite configurar la seguridad y el inicio en los servicios que
se ejecutan en un equipo. La opción Servicios de sistema incluye funciones
esenciales, como servicios de red, de archivo e impresión, de telefonía y fax, y
de Internet o intranet. La configuración general incluye el modo de inicio del
servicio (automático, manual o deshabilitado) y la seguridad en el servicio.
Registro
Esta opción se utiliza para configurar la seguridad en las claves del Registro.
Sistema de archivos
Esta opción se utiliza para configurar la seguridad en rutas de acceso de
archivos específicas.
Directivas de clave pública
Esta opción se emplea para configurar agentes de recuperación de datos
cifrados, raíces de dominio, entidades emisoras de certificados de
confianza, etc.
Nota La opción Directiva de clave pública es la única disponible en

Configuración de usuario.
Directivas de seguridad IP de Active Directory

Esta opción se utiliza para configurar IPSec.
Importante Sólo las áreas Directivas de cuenta, Directivas locales, Directivas

de clave pública y Directivas de seguridad IP de Active Directory están
disponibles cuando se utiliza Directiva de seguridad local.
Además, sólo es posible asignar opciones de configuración de contraseñas, de
bloqueo de cuentas y de Kerberos v5 en el nivel de dominio o de unidad
organizativa. Sin embargo, si la directiva se configura en el nivel de unidad
organizativa, la configuración sólo afecta a las bases de datos de Administrador
de cuentas de seguridad (SAM, Security Accounts Manager) de objetos de
equipo en la unidad organizativa, no a las directivas de contraseñas de dominio.
Windows Server 2003 no procesa ningún cambio que se efectúe en estas tres
opciones de configuración de un GPO en el nivel de sitio.
Lecturas adicionales Para obtener más información acerca de recomendaciones acerca de las
plantillas de seguridad, consulte el artículo de TechNet “Best practices for
Security Templates” en la dirección http://www.microsoft.com/technet/
treeview/default.asp?url=/technet/prodtechnol/windowsserver2003/
proddocs/datacenter/sag_SCEbp.asp (en inglés).
Cómo crear una plantilla de seguridad personalizada
Introducción Si las plantillas predefinidas son insuficientes para sus necesidades de

seguridad, debe crear plantillas personalizadas.
Procedimiento para Para personalizar una plantilla de seguridad predefinida:
personalizar una
plantilla predefinida 1. En Microsoft Management Console (MMC), agregue el complemento
Plantillas de seguridad.
2. En el árbol de la consola, expanda Plantillas de seguridad y haga
doble clic en la carpeta de la ruta de seguridad predeterminada
(systemroot/Security/Templates).
3. En el panel de detalles, haga clic con el botón secundario del mouse en
la plantilla predefinida que desee modificar y, después, haga clic en
Guardar como.
4. En el cuadro de diálogo Guardar como, escriba un nombre de archivo
nuevo para la plantilla de seguridad y haga clic en Guardar.
5. En el árbol de la consola, haga doble clic en la nueva plantilla de seguridad
para mostrar las directivas de seguridad y desplácese hasta que el atributo
de seguridad que desee modificar aparezca en el panel de detalles.
6. En el panel de detalles, haga clic con el botón secundario del mouse en el
atributo de seguridad y, a continuación, haga clic en Propiedades.
7. En el cuadro de diálogo Propiedades, active la casilla de verificación
Definir esta configuración de directiva en la plantilla, haga los cambios
que desee y, después, haga clic en Aceptar.
8. En el árbol de la consola, haga clic con el botón secundario del mouse en la
plantilla de seguridad y haga clic en Guardar.
Procedimiento para Para crear una nueva plantilla de seguridad:

crear una nueva
plantilla de seguridad 1. En una consola de MMC, agregue el complemento Plantillas de seguridad.
2. En el árbol de la consola, expanda Plantillas de seguridad, haga clic
con el botón secundario del mouse en la carpeta de la ruta de seguridad
predeterminada (systemroot/Security/Templates) y, después, haga clic en
Plantilla nueva.
3. En el cuadro de diálogo systemroot/security/templates, en el cuadro
Nombre de plantilla, escriba el nombre y la descripción de la plantilla y
haga clic en Aceptar.
4. En el árbol de la consola, haga doble clic en la nueva plantilla de seguridad
para mostrar las directivas de seguridad y desplácese hasta que el atributo de
seguridad que desee modificar aparezca en el panel de detalles.
5. En el panel de detalles, haga clic con el botón secundario del mouse en el
atributo de seguridad y, a continuación, haga clic en Propiedades.
6. En el cuadro de diálogo Propiedades, active la casilla de verificación
Definir esta configuración de directiva en la plantilla, haga los cambios
que desee y, después, haga clic en Aceptar.
7. En el árbol de la consola, haga clic con el botón secundario del mouse en la
plantilla de seguridad y haga clic en Guardar.
Cómo importar una plantilla de seguridad
Introducción Al importar una plantilla de seguridad a un equipo local, puede aplicar la

configuración de la plantilla al equipo local. Cuando importa una plantilla de
seguridad a un GPO, la configuración de la plantilla se aplica a todos los
equipos de los contenedores a los que el GPO esté vinculado.
Procedimiento para Para importar una plantilla de seguridad a un equipo local:
importar una plantilla
a un equipo local 1. En Microsoft Management Console (MMC), agregue el complemento
2. Abra Configuración y análisis de seguridad.
3. En el árbol de la consola, haga clic con el botón secundario del mouse en
Configuración y análisis de seguridad y haga clic en Importar plantilla.
Nota Si no hay ninguna base de datos abierta, primero tendrá que abrir alguna o
crear una nueva; para ello, haga clic con el botón secundario del mouse en
Configuración y análisis de seguridad y, después, haga clic en Abrir base de
datos. Seleccione una base de datos existente o escriba el nombre para una nueva.
4. (Opcional) Para borrar la base de datos de todas las plantillas, active la

casilla de verificación Limpiar esta base de datos antes de importar.
5. En el cuadro de diálogo Importar plantilla, haga clic en un archivo de
plantilla y, después, en Abrir.
6. Repita estos pasos para cada plantilla que desee combinar en la base
de datos.
Procedimiento para Para importar una plantilla de seguridad a un GPO cuando no se ha instalado
importar una plantilla a Group Policy Management Console (GPMC):
un GPO sin tener
instalado GPMC 1. Abra Usuarios y equipos de Active Directory o Sitios y servicios de Active
Directory desde el menú Herramientas administrativas.
2. Haga clic con el botón secundario del mouse en el dominio y, a
continuación, haga clic en Propiedades.
3. En la ficha Directiva de grupo, modifique el GPO apropiado.
4. Expanda Configuración del equipo y, después, Configuración
de Windows.
5. Haga clic con el botón secundario del mouse en Configuración de
seguridad y, después, haga clic en Importar directiva.
6. Haga clic en una plantilla y, a continuación, haga clic en Abrir.
La configuración de la plantilla se aplica al objeto de directiva de grupo y se
aplicará la próxima vez que el equipo se inicie.
Procedimiento para Para importar una plantilla de seguridad a un GPO cuando se ha instalado
importar una plantilla a Group Policy Management Console:
un GPO con GPMC
1. En Group Policy Management Console, modifique el GPO apropiado.
2. Expanda Computer Configuration (Configuración del equipo) y, después,
Windows Settings (Configuración de Windows).
3. Haga clic con el botón secundario del mouse en Security Settings
(Configuración de seguridad) y, después, haga clic en Import Policy
(Importar directiva).
4. Haga clic en una plantilla y, a continuación, haga clic en Open (Abrir).
La configuración de la plantilla se aplica al objeto de directiva de grupo y se
aplicará la próxima vez que el equipo se inicie.
Ejercicio: Uso de plantillas de seguridad para proteger un equipo
Objetivo En este ejercicio, se ocupará de:

Crear una plantilla de seguridad.
Importar una plantilla de seguridad a un GPO.

Utilice la cuenta de usuario Nwtraders\NombreDeEquipoAdmin
(por ejemplo, LondonAdmin).
Abra el símbolo del sistema mediante el comando Ejecutar como.
esta tarea.
Ejercicio: Creación Compruebe que el servicio Audio de Windows está deshabilitado

de una plantilla
personalizada en 1. Ubicación: Panel de control\Herramientas administrativas\Servicios
un equipo local
2. Servicio: Audio de Windows
Compruebe los permisos de los archivos

1. Vaya a la carpeta que contiene los archivos
2. Compruebe los permisos: compruebe que la unidad organizativa DL OU
NombreDeEquipoAdmin no tiene permisos para utilizar la carpeta.
Agregue el complemento Plantillas de seguridad a una consola

CustomMMC
1. Herramienta: CustomMMC
2. Complemento: Plantillas de seguridad
3. Guarde la consola cuando termine el ejercicio.
Cree una nueva plantilla de seguridad denominada NombreDeEquipo

1. Herramienta: complemento Plantillas de seguridad
2. Nombre de la nueva plantilla de seguridad: NombreDeEquipo
Modifique la plantilla de seguridad personalizada NombreDeEquipo

1. Configure Audio de Windows en Servicios de sistema para que se inicie
automáticamente.
a. Seleccione Servicios de sistema y haga doble clic en Audio de Windows.
b. Seleccione la opción Definir esta configuración de directiva en la
plantilla, haga clic en Automático y, después, en Aceptar.
2. Configure los permisos del sistema de archivos.
a. Haga clic con el botón secundario del mouse en Sistema de archivos y,
después, haga clic en Agregar archivo.
b. Vaya a la carpeta que contiene los archivos
c. Conceda control total al grupo DL NombreDeEquipo OU Administrators.
d. Propague los permisos heredables a todas las subcarpetas y archivos.
3. Guarde la plantilla como NombreDeEquipo.inf.
Importe y aplique la plantilla de seguridad personalizada

NombreDeEquipo
1. En CustomMMC, agregue el complemento Configuración y análisis de
seguridad.
2. Haga clic con el botón secundario del mouse en Configuración y análisis
de seguridad y, a continuación, haga clic en Abrir base de datos.
3. En el cuadro Abrir base de datos, escriba NombreDeEquipo y haga clic
en Abrir.
4. En el cuadro de diálogo Importar plantilla, haga clic en
NombreDeEquipo.inf y, después, en Abrir.
de seguridad y, a continuación, haga clic en Configurar el equipo ahora.
6. En el cuadro de mensaje, haga clic en Aceptar.
de seguridad y, a continuación, haga clic en Ver el archivo de registro.
En el panel de detalles de Configuración y análisis de seguridad,
compruebe que se han configurado el servicio de sistema Audio de
Windows y el sistema de archivos.
Compruebe que el servicio Audio de Windows está habilitado

1. Ubicación: Panel de control\Herramientas administrativas\Servicios
2. Servicio: Audio de Windows
Compruebe los permisos de los archivos

1. Vaya a la carpeta que contiene los archivos
2. Compruebe los permisos: compruebe que el grupo DL NombreDeEquipo
OU Administrators tiene el permiso Control total para utilizar la carpeta.
Ejercicio: Importación Importe una plantilla de seguridad a un GPO

de una plantilla
personalizada a un GPO 1. En Group Policy Management Console, cree un GPO denominado
NombreDeEquipo Restricted Users.
2. Vincule el GPO NombredeEquipo Restricted Users a la unidad organizativa
Locations/NombreDeEquipo/Computers.
3. Modifique el GPO NombreDeEquipo Restricted Users.
4. Importe la directiva de seguridad personalizada denominada
NombreDeEquipo.inf.
Lección: Prueba de la directiva de seguridad de

un equipo
Introducción Antes de implementar una plantilla de seguridad en grandes grupos de equipos,

es importante analizar los resultados de la aplicación de una configuración
para garantizar que no se producen efectos adversos en las aplicaciones, en la
conectividad o en la seguridad. Un análisis exhaustivo también contribuye a
identificar infracciones de la seguridad y las desviaciones de las configuraciones
estándar. El complemento Configuración y análisis de seguridad puede utilizarse
para crear y revisar posibles situaciones, y ajustar una configuración.
Explicar para qué se utiliza la herramienta Configuración y análisis
de seguridad.
Probar la seguridad de un equipo con dicha herramienta.
Qué es la herramienta Configuración y análisis de seguridad
Introducción La herramienta que suele utilizarse para analizar la seguridad de un equipo es

Herramienta La herramienta Configuración y análisis de seguridad compara la configuración
Configuración y de la seguridad del equipo local con una configuración alternativa que se
análisis de seguridad importa desde una plantilla (un archivo .inf) y se almacena en una base de datos
independiente (un archivo .sdb). Una vez finalizado el análisis, puede examinar
la configuración de seguridad en el árbol de la consola para ver los resultados.
Las discrepancias se marcan con un indicador rojo. Las coherencias se señalan
con una marca de verificación verde. Los valores que no tienen indicador rojo
ni marca de verificación verde no están configurados en la base de datos.
Por qué se utiliza Tras analizar los resultados mediante la herramienta Configuración y análisis de
la herramienta seguridad, puede realizar varias tareas, como son:
Configuración y
análisis de seguridad Eliminar discrepancias mediante la configuración de los valores de la base
de datos para que coincidan con los del equipo actual. Para configurar las
opciones de la base de datos, haga doble clic en la opción en el panel
de detalles.
Importar otro archivo de plantilla, combinar sus opciones y sobrescribir las
que estén en conflicto. Para importar otro archivo de plantilla, haga clic con
el botón secundario del mouse en Configuración y análisis de seguridad y,
a continuación, haga clic en Importar plantilla.
Exportar la configuración actual de la base de datos a un archivo de
plantilla. Para exportar otro archivo de plantilla, haga clic con el botón
secundario del mouse en Configuración y análisis de seguridad y, a
continuación, haga clic en Exportar plantilla.
Lecturas adicionales Para obtener más información acerca de las herramientas de seguridad, consulte:
“Security Configuration Manager” en la dirección
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodte
chnol/windowsserver2003/proddocs/server/SEconcepts_SCM.asp (en
inglés).
“Best Practices for Security Configuration and Analysis” en la dirección
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodte
chnol/windowsserver2003/proddocs/server/sag_SCMbp.asp (en inglés).
Cómo probar la seguridad de un equipo
Introducción En ocasiones, debe analizar un equipo para comprobar qué opciones de

configuración de seguridad de un servidor difieren de las de una plantilla de
seguridad básica. Para ello, se utiliza la herramienta Configuración y análisis
de seguridad.
Procedimiento Para analizar la seguridad mediante la herramienta Configuración y análisis
de seguridad:
1. Agregue el complemento Configuración y análisis de seguridad a una
consola MMC.
de seguridad y, a continuación, haga clic en Abrir base de datos.
3. En el cuadro de diálogo Abrir base de datos, seleccione un archivo de base
de datos existente o escriba un nombre único para crear una base de datos y,
a continuación, haga clic en Abrir.
Las bases de datos existentes ya contienen configuraciones importadas. Si va
a crear una base de datos, aparece el cuadro de diálogo Importar plantilla.
Seleccione una base de datos y, a continuación, haga clic en Abrir.
de seguridad y, a continuación, haga clic en Analizar el equipo ahora.
5. En el cuadro de diálogo Realizar análisis, elija una ubicación para el
archivo de registro del análisis y, a continuación, haga clic en Aceptar.
6. En el árbol de la consola, expanda Configuración y análisis de seguridad.
7. Vaya a las opciones de configuración en el árbol de la consola y compare
las columnas Configuración de la base de datos y Configuración del
equipo en el panel de detalles.
Lección: Asignación de archivos de comandos para

controlar los entornos de usuario mediante Directiva
de grupo
Introducción Directiva de grupo se utiliza para implementar archivos de comandos para

usuarios y equipos. Un archivo de comandos es un archivo por lotes o una
secuencia de comandos de Microsoft Visual Basic® que permite ejecutar
código o realizar tareas de administración. Es posible utilizar opciones
de configuración de secuencias de comandos de directiva de grupo para
automatizar el proceso de ejecución de archivos de comandos.
Hay opciones de configuración de secuencias de comandos en Directiva de
grupo tanto en Configuración del equipo como en Configuración de usuario.
Puede utilizar directivas de grupo para ejecutar archivos de comandos cuando
un sistema se inicia y se cierra, y cuando un usuario inicia y cierra una sesión.
Al igual que el resto de opciones de configuración de directiva de grupo, las
relacionadas con los archivos de comandos se configuran una vez y
Windows Server 2003 las implementa y aplica continuamente en toda la red.
Explicar las ventajas de utilizar opciones de configuración de archivos de
comandos de directiva de grupo.
Explicar cómo se aplican las opciones de configuración de archivos de
comandos de directiva de grupo.
Asignar archivos de comandos con directivas de grupo.
Por qué se utilizan parámetros de secuencias de comandos de

directiva de grupo
Introducción Los parámetros de secuencias de comandos de directiva de grupo se utilizan

con el fin de configurar archivos de comandos de forma centralizada para que
se ejecuten automáticamente cuando un sistema se inicia o se cierra, y cuando
un usuario inicia o cierra una sesión. Es posible especificar cualquier archivo de
comandos que se ejecute en Windows Server 2003, por ejemplo, un archivo por
lotes, programas ejecutables y secuencias de comandos que sean compatibles
con Windows Script Host (WSH).
Ventajas de la Como ayuda para administrar y configurar entornos de usuario, puede:
configuración de
archivos de comandos Ejecutar archivos de comandos que realicen tareas que no puedan llevarse
de directiva de grupo a cabo a través de otras opciones de configuración de directiva de grupo.
Por ejemplo, puede rellenar los entornos de usuario con conexiones de red,
conexiones de impresora, accesos directos a las aplicaciones y documentos
corporativos.
Limpiar los escritorios cuando los usuarios cierran la sesión y apagan su
equipo. Puede quitar las conexiones que agregó con los archivos de inicio
de sesión y del sistema, de forma que el equipo quede en el mismo estado
que estaba cuando el usuario lo inició.
Ejecutar archivos de comandos existentes que ya estén configurados para
administrar entornos de usuario hasta que configure otras opciones de
directiva de grupo que los reemplacen.
Nota En Usuarios y equipos de Active Directory, puede asignar archivos de

comandos de inicio de sesión de forma individual a cuentas de usuario en el
cuadro de diálogo Propiedades de cada cuenta de usuario. Sin embargo, es
mejor utilizar directivas de grupo para ejecutar los archivos de comandos
puesto que ello permite administrarlos de forma centralizada, junto con los
archivos de comandos de inicio y cierre del sistema, y de cierre de sesión.
Lecturas adicionales Para obtener más información acerca del uso de archivos de comandos,
consulte Microsoft TechNet Script Center (en inglés) en la dirección
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/
scriptcenter/default.asp.
Cómo se aplican los archivos de comandos de directiva de grupo
Orden de proceso de los La familia de Windows Server 2003 ejecuta los archivos de comandos
archivos de comandos múltiples de arriba a abajo según se indica en la ficha Archivos de comandos
de directiva de grupo del cuadro de diálogo Propiedades de archivo de comandos. Este proceso
determina el orden en que se ejecutan los archivos de comandos y su efecto en
los equipos y los usuarios. Si hay un conflicto entre diferentes archivos de
comandos, prevalecerá aquel que la familia de Windows Server 2003 haya
procesado en último lugar.
Asegúrese de que la familia de Windows Server 2003 ejecuta los archivos de
comandos en el orden que desee para obtener resultados coherentes. Cuando se
ejecutan en dicho orden, se impide que un archivo que dependa de la ejecución
correcta de otro se ejecute antes que éste.
Proceso para aplicar los La familia de Windows Server 2003 procesa y ejecuta los archivos de
parámetros de archivos comandos asignados a directivas de grupo como sigue:
de comandos de
directiva de grupo 1. Cuando un usuario inicia el equipo y la sesión, sucede lo siguiente:
a. De manera predeterminada, los archivos de comandos de inicio del
sistema se ejecutan de forma oculta y sincrónica.
Cuando los archivos de comandos se ejecutan sincrónicamente, cada uno
debe completarse o transcurrir el tiempo de espera asociado a él antes de
que se inicie el siguiente.
b. De manera predeterminada, los archivos de comandos de inicio de
sesión se ejecutan de forma oculta y asincrónica.
Cuando se ejecutan asincrónicamente, un archivo de comandos puede
empezar a ejecutarse aunque se esté ejecutando otro. Se pueden ejecutar
varios archivos de comandos al mismo tiempo.
Los archivos de comandos de inicio de sesión asociados con una cuenta
de usuario específica que no se hayan asignado a directivas de grupo se
ejecutan después de los que se hayan asignado a directivas de grupo.
2. Cuando un usuario cierra la sesión y el sistema, sucede lo siguiente:
a. Se ejecutan los archivos de comandos de cierre de sesión.
b. Se ejecutan los archivos de comandos de cierre del sistema.
Nota De forma predeterminada, el valor de tiempo de espera para procesar

archivos de comandos es de diez minutos. Si un archivo de comandos requiere
más de diez minutos para procesarse, ajuste el valor del tiempo de espera
configurando la opción de directiva de grupo Tiempo de espera máximo para
las secuencias de comandos de la directiva de grupo. Esta opción se encuentra
en Configuración del equipo\Plantillas administrativas\Sistema\Secuencias de
comandos\ y afecta a todos los archivos de comandos que se ejecutan, no sólo a
los de inicio de sesión.
Cómo asignar archivos de comandos a directivas de grupo
Introducción Si desea implementar un archivo de comandos, utilice una directiva de grupo

para agregarlo a la opción de configuración apropiada en la plantilla de
Directiva de grupo. De este modo, el archivo de comandos se ejecutará durante
el inicio o el cierre del sistema, o el inicio o el cierre de sesión.
Procedimiento Para agregar un archivo de comandos a un GPO:
1. En Group Policy Management Console, modifique un GPO.
2. En Editor de objetos de directiva de grupo, en el árbol de la consola, vaya a
Configuración de usuario/Configuración de Windows/Secuencia de
comandos (Iniciar sesión/Cerrar sesión).
3. En el panel de detalles, haga doble clic en Iniciar sesión.
4. En el cuadro de diálogo Propiedades de Iniciar sesión, haga clic
en Agregar.
5. En el cuadro de diálogo Agregar un archivo de comandos, de entre las
opciones siguientes configure la que desee utilizar y haga clic en Aceptar:
• Nombre del archivo de comandos. Escriba la ruta de acceso del archivo
de comandos o haga clic en Examinar para buscar el archivo de
comandos en el recurso compartido Netlogon del controlador de dominio.
• Parámetros del archivo de comandos. Escriba los parámetros que
desee utilizar igual que lo haría en la línea de comandos.
6. En el cuadro de diálogo Propiedades de Iniciar sesión, de entre las

opciones siguientes configure la que desee utilizar:
• Iniciar sesión Archivos de comandos para. En este cuadro se enumeran
todos los archivos de comandos asignados al GPO seleccionado. Si asigna
varios, se procesan en el orden que especifique. Para mover un archivo en
la lista, haga clic en él y, después, en Arriba o en Abajo.
• Agregar. Haga clic en Agregar para especificar otros archivos de
comandos que desee utilizar.
• Editar. Haga clic en Editar para modificar información del archivo de
comandos, por ejemplo, el nombre y los parámetros.
• Quitar. Haga clic en Quitar para quitar el archivo de comandos
seleccionado en la lista de archivos de comandos de iniciar sesión.
• Mostrar archivos. Haga clic en esta opción para ver los archivos de
comandos que están almacenados en el GPO seleccionado.
Nota Los archivos de comandos de iniciar sesión se ejecutan en el contexto de

la cuenta de usuario y no en el de la cuenta de administrador.
Ejercicio: Asignación de archivos de comandos con directivas

de grupo
Objetivo En este ejercicio, utilizará la directiva de grupo para asignar archivos

de comandos.
Inicie una sesión en el dominio con la cuenta NombreDeEquipoAdmin.
Nota Este ejercicio se centra en los conceptos explicados en esta lección y,

en consecuencia, puede no seguir las recomendaciones de seguridad de
Microsoft. Por ejemplo, en él no se sigue la recomendación que aconseja que
los usuarios inicien sesión con una cuenta de usuario de dominio y utilicen el
comando Ejecutar como al realizar tareas administrativas. Si se utiliza el
Explorador de Windows, no se puede utilizar el comando Ejecutar como.
Abra CustomMMC.
Compruebe que CustomMMC contiene los complementos siguientes:
• Usuarios y equipos de Active Directory
• Group Policy Management Console
esta tarea.
Situación de ejemplo Northwind Traders desea que la unidad S: en los equipos de todo su personal se
asigne a una carpeta compartida denominada NombreDeEquipo Public de su
servidor integrante. Debe vincular un GPO denominado NombreDeEquipo
Logon Scripts a la unidad organizativa IT Test/NombreDeEquipo. A
continuación, debe probar el archivo de comandos de iniciar sesión.
Ejercicio Cree una carpeta compartida en su equipo

Ruta de acceso de la carpeta: D:\NombreDeEquipo Public
Nombre de la carpeta compartida: NombreDeEquipo Public
Permisos: conceda el permiso Control total al grupo Administradores y los
permisos Cambiar y Leer al grupo Todos.
Cree y vincule un GPO

Ubicación: Locations/NombreDeEquipo/Users
Nombre de GPO: Group NombreDeEquipo Logon Script
Configure una opción de secuencia de comandos de iniciar sesión con

una directiva de grupo
GPO: Group NombreDeEquipo Logon Script
Ubicación: Configuración de usuario/Configuración de Windows/
Secuencias de comandos
Opción de configuración de directiva de grupo: Iniciar sesión
Opciones:
1. En el cuadro de diálogo Propiedades de Iniciar sesión, haga clic en
Mostrar archivos.
2. En el Explorador de Windows, en el menú Archivo, seleccione Nuevo
y haga clic en Documento de texto.
3. Cambie el nombre del archivo Nuevo Documento de texto.txt por
Iniciar sesión.vbs.
4. En el cuadro de mensaje, haga clic en Sí.
5. Haga clic con el botón secundario del mouse en Iniciar sesion.vbs y,
a continuación, haga clic en Modificar.
6. En el cuadro de diálogo Descarga de archivos, haga clic en Abrir.
7. En el Bloc de notas de Microsoft, escriba lo siguiente:
Set objNetwork = Wscript.CreateObject("WScript.Network")
objNetwork.MapNetworkDrive
"S:","\\NombreDeEquipo\NombreDeEquipo Public"
msgbox "¡¡¡¡¡Su secuencia de comandos ha
funcionado!!!!!"
Nota Debe escribir las líneas segunda y tercera de la secuencia como una
sola línea: objNetwork.MapNetworkDrive "S:",\\NombreDeEquipo\
NombreDeEquipo Public.
8. En el menú Archivo, haga clic en Guardar.

9. Cierre el Bloc de notas y el Explorador de Windows.
10. En el cuadro de diálogo Propiedades de Iniciar sesión, haga clic

en Agregar.
11. En el cuadro de diálogo Agregar un archivo de comandos, haga clic
en Examinar.
12. En el cuadro de diálogo Examinar, haga clic en Iniciar sesión.vbs y,
después, en Abrir.
13. En el cuadro de diálogo Agregar un archivo de comandos, haga clic
en Aceptar.
14. En el cuadro de diálogo Propiedades de Inicio de sesión, haga clic
en Aceptar.
15. Cierre todas las ventanas y cierre la sesión.
Pruebe el archivo de comandos de inicio de sesión

1. Inicie una sesión como NombreDeEquipoTest con la contraseña P@ssw0rd.
2. En el cuadro ¡¡¡¡Su secuencia de comandos ha funcionado!!!!, haga clic
en Aceptar.
Elimine un vínculo de GPO

Inicie una sesión como NombreDeEquipoAdmin con la contraseña
P@ssw0rd.
Abra CustomMMC
GPO: NombreDeEquipo Standard Desktop
Elimine el vínculo de GPO.
Lección: Determinar los GPO aplicados
Introducción Directiva de grupo es la herramienta administrativa principal para definir y

controlar cómo funcionan los programas, los recursos de red y el sistema
operativo para los usuarios y los equipos de una organización. En un entorno de
Active Directory, las directivas de grupo se aplican a los usuarios o los equipos
en función de su pertenencia a sitios, dominios o unidades organizativas.
Explicar qué es gpupdate.
Explicar qué es gpresult.
Explicar qué es la característica de informe de directivas de grupo.
Utilizar la característica de informe de directivas de grupo.
Explicar qué es la característica de modelado de directivas de grupo.
Utilizar la característica de modelado de directivas de grupo.
Explicar qué es Resultados de directiva de grupo (Group Policy Result).
Utilizar Resultados de directiva de grupo.
Qué es Gpupdate
Introducción Gpupdate es una herramienta de línea de comandos que actualiza la

configuración de directivas de grupo locales y de directivas de grupo
almacenadas en Active Directory, que incluyen la configuración de seguridad.
De forma predeterminada, la configuración de seguridad se actualiza cada
90 minutos en una estación de trabajo o servidor, y cada 5 minutos en un
controlador de dominio. Puede ejecutar gpupdate para probar una opción
de configuración de directiva de grupo y aplicarla.
Ejemplos de gpupdate Los siguientes ejemplos demuestran cómo se puede utilizar el
comando gpupdate:
C:\gpupdate
C:\gpupdate /target:computer
C:\gpupdate /force /wait:100
C:\gpupdate /boot
Parámetros de gpupdate Gpupdate tiene los parámetros siguientes.

Valor Descripción
/Target:{Computer | User} Especifica que se actualice sólo la configuración de

directiva de usuario o sólo la de equipo. De forma
predeterminada, se actualizan ambas.
/Force Vuelve a aplicar todas las opciones de configuración de
directivas. De forma predeterminada, sólo se vuelven a
aplicar las opciones que hayan cambiado.
/Wait:{Valor} Establece el número de segundos que se debe esperar a
que termine el procesamiento de la directiva. El valor
predeterminado es de 600 segundos. El valor '0' significa
que no se espere. El valor '-1' significa que se espere
indefinidamente.
/Logoff Hace que se cierre la sesión una vez que se actualicen
las opciones de configuración de directiva de grupo. Se
requiere este parámetro para extensiones de cliente de
Directiva de grupo que no procesan la configuración de
directivas en un ciclo de actualización en segundo plano
sino cuando el usuario inicia una sesión. Por ejemplo, en
las extensiones de Instalación de software y Redirección
de carpetas destinadas a usuarios. Esta opción no tiene
efecto si no se llama a extensiones que requieran que se
cierre la sesión.
/Boot Hace que se reinicie el equipo una vez que se actualicen
las opciones de configuración de directiva de grupo. Se
requiere este parámetro para extensiones de cliente de
Directiva de grupo que no procesan la directiva en un
ciclo de actualización en segundo plano sino cuando se
inicia el equipo. Por ejemplo, en la extensión Instalación
de software destinada a equipos. Esta opción no tiene
efecto si no se llama a extensiones que requieran que el
equipo se reinicie.
/Sync Hace que la siguiente opción de configuración de
directiva en primer plano se aplique de forma sincrónica.
Estas opciones se aplican cuando el equipo se inicia y
cuando el usuario inicia una sesión. Puede especificarla
para el usuario, el equipo o para ambos mediante el
parámetro /Target. Los parámetros /Force y /Wait se
pasan por alto.
Qué es Gpresult
Introducción Dado que es posible aplicar a un equipo o usuario parámetros de configuración

de directivas que se solapen, Directiva de grupo genera el conjunto resultante
de directivas en el inicio de sesión. Gpresult muestra el conjunto resultante de
directivas que se aplican en el equipo cuando el usuario especificado inicia
una sesión.
El comando gpresult muestra la configuración de directivas de grupo y los
datos del conjunto resultante de directivas (RsoP, Resultant Set of Policy) para
un usuario o un equipo determinados. Gpresult puede utilizarse para ver qué
opciones de configuración de directivas están vigentes y solucionar problemas.
Ejemplos de gpresult Los siguientes ejemplos demuestran cómo se puede utilizar el
comando gpresult:
C:\gpresult /user NombreDeUsuarioDestino /scope computer
C:\gpresult /s srvmain /u maindom/hiropln /p p@ssW23 /user
NombreDeUsuarioDestino /scope USER
C:\gpresult /s srvmain /u maindom/hiropln /p p@ssW23 /user
NombreDeUsuarioDestino /z >directiva.txt
C:\gpresult /s srvmain /u maindom/hiropln /p p@ssW23
Parámetros de gpresult Gpresult admite los parámetros siguientes.

Valor Descripción
/s Equipo Indica el nombre o la dirección IP de un equipo remoto.

No utilice barras diagonales inversas. El valor
predeterminado es el equipo local.
/u Dominio/Usuario Ejecuta el comando con los permisos de cuenta
del usuario que se especifica en Usuario o en
Dominio\Usuario. El valor predeterminado son los
permisos del usuario que tiene iniciada una sesión
en ese momento en el equipo que ejecuta el comando.
/p Contraseña Indica la contraseña de la cuenta de usuario que se
especifica en el parámetro /u.
/user Indica el nombre del usuario cuyos datos del conjunto
NombreDeUsuarioDestino resultante de directivas (RsoP) se mostrarán.
/scope {user|computer} Muestra la configuración de directivas de usuario o de
equipo. Los valores válidos para el parámetro /scope son
user o computer. Si omite el parámetro /scope, gpresult
muestra la configuración de directivas de usuario y
de equipo.
/v Indica que la salida mostrará información detallada
de directivas.
/z Indica que la salida mostrará toda la información
disponible acerca de las directivas de grupo. Dado que
este parámetro genera más información que el parámetro
/v, redirija su salida a un archivo de texto (por ejemplo,
escriba gpresult /z >directiva.txt).
/? Muestra ayuda en la ventana de símbolo de sistema.
Ejercicio: Uso de Gpupdate y Gpresult
Objetivo En este ejercicio, utilizará gpupdate y gpresult para probar opciones de

configuración de directivas en su equipo local.
Compruebe que se ha creado una cuenta de usuario denominada
NombreDeEquipoTest.
Situación de ejemplo Va a probar algunas opciones de configuración de directivas de grupo en su

equipo local. No desea esperar a que transcurra el intervalo de actualización
para ver la actualización de las directivas de grupo, por lo que debe ejecutar
el comando gpupdate.
Ejercicio: Uso de
Utilice gpupdate sin parámetros
gpupdate
• En el símbolo del sistema, escriba gpupdate
Utilice gpupdate con el parámetro /force

• En el símbolo del sistema, escriba gpupdate /force
Si se le pregunta si desea cerrar la sesión, escriba N y presione ENTRAR.
Situación de ejemplo Debe utilizar gpresult para ver las opciones de configuración de directivas de
grupo que están vigentes en su servidor como ayuda para solucionar problemas
en equipos remotos.
Ejercicio: Uso de Utilice gpresult sin parámetros
gpresult
1. En el símbolo del sistema, escriba gpresult
2. Desplácese por la ventana de símbolo del sistema para ver los resultados de
la configuración de directivas de grupo que se ha aplicado en su equipo.
Utilice gpresult con el parámetro /scope

1. Inicie el símbolo del sistema con las credenciales siguientes:
a. Nombre de usuario: NWTraders\NombreDeEquipoAdmin
(donde NombreDeEquipo es el nombre de su equipo)
b. Contraseña: P@ssw0rd
2. En el símbolo del sistema, escriba gpresult /scope computer
4. En el símbolo del sistema, escriba gpresult /scope user
Envíe los datos de gpresult a un archivo de texto con el parámetro /z

1. Inicie el símbolo del sistema con las credenciales siguientes:
a. Nombre de usuario: NWTraders\NombreDeEquipoAdmin
(donde NombreDeEquipo es el nombre de su equipo)
2. En el símbolo del sistema, escriba gpresult /z >gp.txt
3. En el símbolo del sistema, escriba notepad gp.txt
4. En el Bloc de notas, desplácese por los resultados y, después, cierre
el programa.
Situación de ejemplo Le han pedido que pruebe una opción de configuración de directiva de grupo.
Dicha opción de configuración quita la opción Buscar del menú Inicio y sólo
afecta a su equipo local. Cuando termine, tiene que preparar un informe para
comprobar que los cambios se han aplicado correctamente.
Ejercicio: Prueba
Inicie sesión como NombreDeEquipoTest y ejecute CustomMMC
de las opciones de
configuración de 1. Inicie una sesión como NombreDeEquipoTest con la contraseña P@ssw0rd.
directivas de grupo
2. Abra CustomMMC mediante el comando Ejecutar como con las
credenciales siguientes:
a. Cuenta de usuario: nwtraders\NombreDeEquipoAdmin
Cree y vincule un GPO

Nombre de GPO: NombreDeEquipo gpresult
Modifique un GPO
• GPO: NombreDeEquipo gpresult
Quite el menú Buscar del menú Inicio

Opción de configuración de directiva de grupo: Quitar el menú Buscar del
menú Inicio
Opción: Habilitada
Compruebe si la opción de configuración de directiva de grupo se

ha aplicado
1. En el símbolo del sistema, escriba gpresult /z >1.txt
2. En el símbolo del sistema, escriba notepad 1.txt
3. En el Bloc de notas, en el menú Edición, haga clic en Buscar.
4. En el cuadro de diálogo Buscar, en el cuadro Buscar, escriba
NombreDeEquipo gpresult y, después, haga clic en Buscar siguiente.
5. En el Bloc de notas, compruebe que el mensaje indica No se encontró
“NombreDeEquipo gpresult” y haga clic en Aceptar.
6. En el cuadro de diálogo Buscar, haga clic en Cancelar y, después, cierre el
Bloc de notas.
7. En el símbolo del sistema, escriba gpupdate
Compruebe de nuevo si la opción de configuración de directiva de

grupo se ha aplicado
1. En el símbolo del sistema, escriba gpresult /z >2.txt
2. En el símbolo del sistema, escriba notepad 2.txt
3. En el Bloc de notas, en el menú Edición, haga clic en Buscar.
4. En el cuadro de diálogo Buscar, en el cuadro Buscar, escriba
NombreDeEquipo gpresult y, después, haga clic en Buscar siguiente.
5. En el Bloc de notas, compruebe que NombreDeEquipo gpresult aparece
resaltado bajo Objetos de directiva de grupo aplicados.
6. En el cuadro de diálogo Buscar, haga clic en Buscar siguiente.
7. En el Bloc de notas, compruebe que NombreDeEquipo gpresult aparece
resaltado bajo Plantillas administrativas.
8. En el cuadro de diálogo Buscar, haga clic en Cancelar y, después, cierre el
Bloc de notas.
Qué es la característica de informe de directivas de grupo
Definición La característica de informe de directivas de grupo permite a los usuarios con

permiso de lectura tener acceso al GPO para mostrar todas las opciones de
configuración del mismo en un único informe. Esta característica permite
imprimir o guardar informes en forma de archivo HTML (Hypertext Markup
Language o Lenguaje de marcado de hipertexto) o XML (Extensible Markup
Language o Lenguaje de marcado extensible).
La característica de La alternativa al uso de la característica de informe de directivas de grupo es
informe de directivas de abrir el GPO y expandir la carpeta que le interese. Cuantos más cambios deba
grupo ahorra tiempo auditar o comprobar, más tiempo ahorrará si utiliza esta característica.
Cómo utilizar la característica de informe de directivas de grupo
Introducción Utilice el procedimiento siguiente para determinar las opciones de

configuración de directivas de grupo aplicadas mediante la característica
de informe de directivas de grupo.
Procedimiento Para utilizar la característica de informe de directivas de grupo:
1. En Group Policy Management Console, en el árbol de la consola, haga clic
en el GPO que le interese.
Debe expandir el bosque, dominio y nombre de dominio para buscar el GPO
para el que desee generar un informe.
2. En el panel de detalles, haga clic en la ficha Settings (Configuración).
3. Haga clic en show all (mostrar todo) para expandir completamente todas
las opciones.
Ejercicio: Uso de la característica de informe de directivas de grupo
Objetivo En este ejercicio, utilizará la característica de informe de directivas de grupo

para comprobar los cambios efectuados en los GPO.
Compruebe que CustomMMC contiene Group Policy Management Console.
esta tarea.
Situación de ejemplo Se le ha pedido que documente las opciones de directivas de grupo para el GPO
Directiva de dominio predeterminada (Default Domain Policy).
Ejercicio Vea el informe relativo a la Directiva de dominio predeterminada
1. En Group Policy Management Console, en el árbol de la consola, expanda
Group Policy Objects (Objetos de directiva de grupo).
2. Haga clic en Default Domain Policy (Directiva de dominio predeterminada).
3. En el panel de detalles, haga clic en la ficha Settings (Configuración).
4. En el cuadro Internet Explorer, haga clic en Cerrar.
5. Repase las opciones de configuración de directivas de grupo para la
Directiva de dominio predeterminada.
6. Haga clic con el botón secundario del mouse en el informe y, a
continuación, haga clic en Save Report (Guardar informe).
7. En el cuadro de diálogo Save GPO Report (Guardar informe de GPO),
vaya a la carpeta destino y después haga clic en Guardar.
Qué es la característica de modelado de directivas de grupo
Introducción Windows Server 2003 permite simular la implementación de un GPO que se

aplique a usuarios y a equipos antes de implementarlo realmente. La simulación
crea un informe que tiene en cuenta la unidad organizativa del usuario, del
equipo, y cualquier filtrado de Instrumental de administración de Windows
(WMI, Windows Management Instrumentation) o pertenencia a grupos.
También tiene en cuenta si existen conflictos o problemas de herencia de
directivas de grupo.
Requisitos Si desea utilizar la característica de modelado de directivas de grupo, debe
haber un controlador de dominio de Windows Server 2003 en el bosque.
Esto se debe a que la simulación la realiza un servicio que sólo está presente
en controladores de dominio de Windows Server 2003.
Resultados de la Para realizar una consulta a la característica de modelado de directivas de

característica de grupo, el usuario utiliza el Asistente para modelado de directivas de grupo
modelado de (Group Policy Modeling Wizard). Una vez que el usuario completa la
directivas de grupo información que solicita el asistente, aparece un nodo nuevo en el árbol de la
consola de Group Policy Management Console, bajo Group Policy Modeling
(Modelado de directivas de grupo) donde se muestran los resultados. La ficha
Contents (Contenido) del panel de detalles de la característica de modelado
muestra un resumen de todas las consultas que el usuario ha realizado a dicha
característica.
Para cada consulta, Group Policy Management Console muestra los
datos siguientes:
Name (Nombre). Se trata del nombre suministrado por el usuario para los
resultados del modelado.
User (Usuario). Es el objeto de usuario (o la unidad organizativa donde éste
se encuentra) en el que se basa la consulta de modelado.
Computer (Equipo). Es el objeto de equipo (o la unidad organizativa donde
éste se encuentra) en el que se basa la consulta de modelado.
Last refresh time (Fecha de la última actualización). Se trata de la última
vez que se actualizó la consulta de modelado.
Para cada consulta, el panel de detalles para el nodo contiene las tres fichas
siguientes:
Summary (Resumen). Contiene un informe HTML de la información
de resumen, incluida la lista de GPO, la lista de integrantes del grupo
de seguridad y los filtros WMI.
Settings (Configuración). Contiene un informe HTML de las opciones
de configuración de directivas que se han aplicado en esta simulación.
Query (Consulta). Enumera los parámetros utilizados para generar
la consulta.
Cómo utilizar la característica de modelado de directivas de grupo
Introducción Para determinar las opciones de configuración de directivas de grupo aplicadas se

utiliza el Asistente para modelado de directivas de grupo. Esto permite simular
los resultados de la aplicación de un nuevo GPO antes de aplicarlo en realidad.
Procedimiento Para utilizar la característica de modelado de directivas de grupo:
el bosque en el que desee crear una consulta para modelar una directiva
de grupo, haga clic con el botón secundario del mouse en Group Policy
Modeling (Modelado de directivas de grupo) y, a continuación, haga clic
en Group Policy Modeling Wizard (Asistente para modelado de directivas
de grupo).
2. En el Asistente para modelado de directivas de grupo, haga clic en
Siguiente y, después, especifique la información siguiente:
• Si desea modelar cuál es el efecto de un nuevo GPO en un usuario o un
equipo, especifique el nombre del contenedor del usuario o equipo.
• Si desea modelar cuál es el efecto de un nuevo GPO en una cuenta
de usuario o equipo determinada que se vaya a migrar a otra unidad
organizativa, especifique el nombre del usuario o del equipo.
El asistente le preguntará el destino del usuario o equipo.
3. Cuando haya terminado, haga clic en Finish (Finalizar).
Ejercicio: Uso de la característica de modelado de directivas

de grupo
Objetivo En este ejercicio, utilizará el Asistente para modelado de directivas de grupo.

Utilice la cuenta de usuario Nwtraders\NombreDeEquipoAdmin (por
ejemplo, LondonAdmin).
Compruebe que CustomMMC contiene Group Policy Management Console.
esta tarea.
Situación de ejemplo El administrador necesita saber cómo se van a aplicar directivas de grupo
si la cuenta de equipo NombreDeEquipo se pasa a la unidad organizativa
IT Test/NombreDeEquipo.
Ejercicio Genere un informe de modelado de directivas de grupo mediante el

Asistente para modelado de directivas de grupo
1. En Group Policy Management Console, haga clic con el botón secundario
del mouse en Group Policy Modeling (Modelado de directivas de grupo) y,
a continuación, haga clic en Group Policy Modeling Wizard.
2. En el Asistente para modelado de directivas de grupo, en la página inicial,
haga clic en Siguiente.
3. En la página Domain Controller Selection (Selección del controlador de
dominio), haga clic en Siguiente.
4. En la página User and Computer Selection (Selección de usuario y
equipo), en Computer information (Información del equipo), haga clic en
Computer (Equipo), escriba nwtraders\NombreDeEquipo y, después, haga
clic en Siguiente.
5. En la página Advanced Simulation Options (Opciones avanzadas de
simulación), haga clic en Siguiente.
6. En la página Alternative Active Directory Paths (Rutas de acceso
alternativas de Active Directory), en el cuadro Computer location
(Ubicación del equipo), escriba OU=NombreDeEquipo,OU=IT
Test,DC=nwtraders,DC=msft y, después, haga clic en Siguiente.
7. En la página Computer Security Groups (Grupos de seguridad del
equipo), haga clic en Siguiente.
8. En la página WMI Filters for Computers (Filtros WMI para equipos),
haga clic en Siguiente.
9. En la página Summary of Selections (Resumen de las selecciones), haga
clic en Siguiente.
10. Haga clic en Finish (Finalizar).
Vea el informe de la característica de modelado de directivas de grupo

1. En la ficha Summary (Resumen), eche un vistazo al informe.
2. En el panel de detalles NombreDeEquipo, haga clic en la ficha Settings
(Configuración).
4. Vea el informe.
5. Haga clic en la ficha Query (Consulta).
6. Vea el informe.
Qué es Resultados de directiva de grupo
Introducción Resultados de directiva de grupo (Group Policy Results) presenta la

información del conjunto resultante de directivas (RsoP, Resultant Set of
Policy) que se obtiene en el equipo de destino. Estos datos son diferentes de los
que se obtienen mediante la característica de modelado de directivas de grupo,
que se simula en el controlador de dominio.
De forma predeterminada, en Microsoft Windows XP el acceso a Resultados de
directiva de grupo se concede a todos los usuarios. Sin embargo, el acceso en
Windows Server 2003 se limita de forma predeterminada y debe concederse
explícitamente.
Requisitos Si desea tener acceso a Resultados de directiva de grupo, no se precisa ningún
controlador de dominio de Windows Server 2003 en el bosque. Sin embargo,
el cliente debe ejecutar Windows XP o Windows Server 2003. No se pueden
obtener los datos de Resultados de directiva de grupo para un cliente con
Microsoft Windows 2000.
Nota De forma predeterminada, sólo los usuarios con privilegios de

administrador local en el equipo de destino pueden tener acceso de forma
remota a los datos de Resultados de directiva de grupo. Con el fin de recopilar
estos datos, el usuario que realiza la consulta debe tener acceso para ver el
registro de sucesos de forma remota.
Presentación de los Cada consulta de Resultados de directiva de grupo se representa mediante un

datos de Resultados de nodo bajo el contenedor Group Policy Results en el árbol de la consola de
directiva de grupo Group Policy Management Console. El panel de detalles de cada noto tiene
las tres fichas siguientes:
Summary (Resumen). Contiene un informe HTML de la información de
resumen, incluida la lista de GPO, la lista de integrantes del grupo de
seguridad y los filtros WMI.
Settings (Configuración). Contiene un informe HTML de las opciones de
configuración de directivas que se han aplicado.
Events (Sucesos). Muestra todos los sucesos relacionados con directivas en
el equipo de destino.
Cómo utilizar Resultados de directiva de grupo
Introducción El procedimiento siguiente muestra cómo utilizar la herramienta Resultados de

directiva de grupo (Group Policy Results).
Procedimiento Para utilizar Resultados de directiva de grupo:
el bosque en el que desee crear una consulta de Resultados de directiva de
grupo, haga clic con el botón secundario del mouse en Group Policy
Results (Resultados de directiva de grupo) y, después, haga clic en Group
Policy Results Wizard (Asistente para resultados de directiva de grupo).
2. En Welcome to the Group Policy Results Wizard (Éste es el Asistente para
resultados de directiva de grupo), haga clic en Siguiente y, después,
especifique la información apropiada.
3. Tras completar el asistente, haga clic en Finalizar.
Ejercicio: Uso de Resultados de directiva de grupo
Introducción En este ejercicio, comprobará que las opciones de configuración de directivas

se han actualizado mediante el Asistente para resultados de directiva de grupo.
Situación de ejemplo Desea comprobar que las opciones de configuración de directivas se han
actualizado en su equipo de alumno. Desea mirar la configuración de directiva
de equipo que se aplica a su equipo con la cuenta NombreDeEquipoAdmin y
buscar todos los sucesos de directiva con el fin de determinar cuándo se aplicó
por última vez la directiva para el equipo Glasgow.
Ejercicio Genere un informe de Resultados de directiva de grupo

1. Selección de equipo: This computer
2. Selección de usuario: NWTRADERS\NombreDeEquipoAdmin
Vea un informe de Resultados de directiva de grupo

1. En la ficha Summary (Resumen), eche un vistazo al informe.
2. En la ficha Policy Events (Sucesos de directiva), haga doble clic en la
columna Source (Origen).
3. Desplácese para ver el origen denominado SceCli.
4. Haga doble clic en el primer suceso que tenga el origen denominado SceCli.
5. En el cuadro de diálogo Event Properties (Propiedades de suceso), observe
la fecha y la hora en que la opción de configuración de directiva de
seguridad se aplicó correctamente.
6. Haga clic en la flecha abajo para ver el siguiente suceso, observe la fecha y
la hora en que la opción de directiva de seguridad se aplicó correctamente y
haga clic en OK (Aceptar).

18

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

18

Enviado por

Direitos autorais:

Formatos disponíveis

Configuración y administración de

entornos de usuario mediante

Introducción Este módulo se centra en ofrecer los conocimientos y la preparación que un

Lección: Configuración de opciones de directiva

Introducción Después de finalizar esta lección, podrá configurar opciones de directivas

Por qué se utilizan directivas de grupo para administrar entornos

Introducción La administración de entornos de usuario implica controlar lo que los usuarios

 Exigir la aplicación de una configuración de seguridad

Qué significa habilitar o deshabilitar opciones de configuración

Nota La ficha Configuración indica los sistemas operativos que admiten la

Cómo modificar una opción de configuración de directiva de grupo

Introducción Como administrador de sistemas, debe modificar las opciones de configuración

Ejercicio: Modificación de la configuración de directivas de grupo

Objetivo En este ejercicio, modificará la configuración de una directiva de grupo.

Situación de ejemplo Northwind Traders debe implementar el GPO NombreDeEquipo

Ejercicio Compruebe que los vínculos de GPO están configurados

Configure el filtrado de seguridad

Deshabilite un vínculo de GPO

Quite Ejecutar del menú Inicio

Deshabilite el acceso al Panel de control

Oculte el icono Mis sitios de red del escritorio

Quite Conexiones de red del menú Inicio

Quite “Conectar a unidad de red” y “Desconectar de unidad de red”

Habilite un vínculo de GPO

Cree una cuenta de usuario

Inicie una sesión

Lección: Uso de plantillas administrativas en Directiva de

Qué son las plantillas administrativas

Definición Una plantilla administrativa es una colección de opciones de configuración

Nota La ruta de acceso del archivo Registry.pol es systemroot\Sysvol\Sysvol\

Cómo se aplica en un equipo la configuración de una plantilla

Tipos de opciones de configuración de plantillas administrativas

Introducción Las opciones de configuración de plantillas administrativas se organizan

Componentes de Las herramientas y componentes de la familia Equipos y

Nota La familia de Windows Server 2003 permite agregar plantillas

Cómo configurar una plantilla administrativa

Introducción Para implementar la configuración de plantillas administrativas, establezca las

Para seleccionar el estado, utilice la ficha Configuración del cuadro de diálogo

Lección: Uso de plantillas de seguridad para proteger

Qué es una directiva de seguridad

Introducción Una directiva de seguridad es una combinación de opciones de configuración

Qué son las plantillas de seguridad

Definición Una plantilla de seguridad es una colección de opciones de configuración de

 Muy seguras (hisec*.inf)

Qué son las opciones de configuración de plantillas de seguridad

Introducción Las plantillas de seguridad contienen opciones de configuración para todas

Nota La opción Directiva de clave pública es la única disponible en

 Directivas de seguridad IP de Active Directory

Importante Sólo las áreas Directivas de cuenta, Directivas locales, Directivas

Cómo crear una plantilla de seguridad personalizada

Introducción Si las plantillas predefinidas son insuficientes para sus necesidades de

Procedimiento para Para crear una nueva plantilla de seguridad:

Cómo importar una plantilla de seguridad

Introducción Al importar una plantilla de seguridad a un equipo local, puede aplicar la

4. (Opcional) Para borrar la base de datos de todas las plantillas, active la

Ejercicio: Uso de plantillas de seguridad para proteger un equipo

Objetivo En este ejercicio, se ocupará de:

Instrucciones Antes de comenzar este ejercicio:

Ejercicio: Creación Compruebe que el servicio Audio de Windows está deshabilitado

Compruebe los permisos de los archivos

Agregue el complemento Plantillas de seguridad a una consola

Cree una nueva plantilla de seguridad denominada NombreDeEquipo

Modifique la plantilla de seguridad personalizada NombreDeEquipo

Importe y aplique la plantilla de seguridad personalizada

Exigir la aplicación de una configuración de seguridad

Muy seguras (hisec*.inf)

Directivas de seguridad IP de Active Directory