guía de operaciones de microsoft advanced group policy...
TRANSCRIPT
Guía de operaciones de Microsoft Advanced Group Policy Management 4.0
Microsoft Corporation
Fecha de publicación: septiembre de 2009
Resumen
Esta guía ofrece instrucciones paso a paso para realizar tareas con Microsoft Administración de
directivas de grupos (AGPM) 4.0. Incluye toda la información de la Ayuda de AGPM.
Copyright
La información contenida en este documento, incluidas las direcciones URL y otras referencias a
sitios Web de Internet, está sujeta a cambios sin previo aviso. A menos que se indique lo
contrario, las compañías, organizaciones, productos, nombres de dominio, direcciones de correo
electrónico, logotipos, personas, lugares y eventos utilizados en los ejemplos son ficticios. No se
pretende indicar ni debe deducirse ninguna asociación con compañías, organizaciones,
productos, nombres de dominio, direcciones de correo electrónico, logotipos, personas, lugares o
eventos reales. Es responsabilidad del usuario el cumplimiento de todas las leyes de derechos
de autor aplicables. Ninguna parte de este documento puede ser reproducida, almacenada o
introducida en un sistema de recuperación, o transmitida de ninguna forma, ni por ningún medio
(ya sea electrónico, mecánico, por fotocopia, grabación, etc.) con ningún propósito, sin la previa
autorización expresa por escrito de Microsoft Corporation, sin que ello suponga ninguna
limitación a los derechos de propiedad industrial o intelectual.
Microsoft puede ser titular de patentes, solicitudes de patentes, marcas, derechos de autor y
otros derechos de propiedad intelectual sobre los contenidos de este documento. La entrega de
este documento no le otorga ninguna licencia sobre dichas patentes, marcas, derechos de autor
u otros derechos de propiedad industrial o intelectual, a menos que así se prevea en el contrato
de licencia escrito de Microsoft.
© 2009 Microsoft Corporation. Todos los derechos reservados.
Microsoft, Windows y Windows Server son marcas registradas o marcas comerciales de
Microsoft Corporation en EE.UU. y en otros países.
Las demás marcas comerciales pertenecen a sus respectivos propietarios.
Contenido
Guía de operaciones de Microsoft Advanced Group Policy Management 4.0 ............................... 5 Introducción de Advanced Group Policy Management .............................................................. 6
Prácticas recomendadas para el control de versiones .............................................................. 7
Lista de comprobación: administración del servidor AGPM y el archivo .................................... 8
Lista de comprobación: Creación, edición e implementación de GPO ....................................... 9
Búsqueda y filtrado de la lista de GPO ................................................................................... 10
Realización de tareas del administrador de AGPM ................................................................. 12
Configuración de Advanced Group Policy Management ...................................................... 13
Configuración de las conexiones con el servidor de AGPM .............................................. 14 Configuración de notificación por correo electrónico ........................................................ 16
Configuración de seguridad de correo electrónico para AGPM......................................... 17
Delegación de acceso al entorno de producción .............................................................. 19
Configuración de registro y seguimiento .......................................................................... 21
Administración del archivo .................................................................................................. 22
Delegación de acceso de nivel de dominio al archivo ....................................................... 22
Delegación de acceso a GPO individuales en el archivo .................................................. 23
Limitación de versiones de GPO almacenadas ................................................................ 25
Importación de GPO desde un archivo............................................................................. 26 Creación de una copia de seguridad del archivo .............................................................. 27
Restauración del archivo a partir de una copia de seguridad ............................................ 28
Administración del servicio AGPM....................................................................................... 29
Inicio o detención del servicio AGPM ............................................................................... 29
Modificación del servicio AGPM ....................................................................................... 30
Movimiento del servidor de AGPM y del archivo .................................................................. 32
Realización de tareas del editor ............................................................................................. 33
Creación, control o importación de GPO ............................................................................. 34
Solicitud de control de GPO sin control ............................................................................ 34 Solicitud de creación de nuevos GPO controlados ........................................................... 35
Importación de GPO de producción ................................................................................. 36
Edición de GPO .................................................................................................................. 37
Edición de GPO sin conexión .......................................................................................... 37
Etiquetado de la versión actual de GPO........................................................................... 39
Cambio de nombre de GPO o plantillas ........................................................................... 40
Uso de un entorno de prueba .............................................................................................. 41
Exportación de un GPO a un archivo ............................................................................... 41
Importación de GPO desde un archivo............................................................................. 42 Prueba de un GPO en una unidad organizativa independiente......................................... 43
Solicitud de implementación de GPO .................................................................................. 43
Creación de plantillas y establecimiento como predeterminadas ......................................... 44
Creación de plantillas ...................................................................................................... 45 Establecimiento de plantillas predeterminadas ................................................................. 46
Eliminación o restauración de GPO..................................................................................... 47
Solicitud de eliminación de GPO ...................................................................................... 47
Solicitud de restauración de GPO eliminados .................................................................. 48
Realización de tareas del aprobador ...................................................................................... 49
Aprobación o rechazo de acciones pendientes.................................................................... 50
Creación o control de GPO ................................................................................................. 51
Control de GPO sin control .............................................................................................. 51
Creación de nuevos GPO controlados ............................................................................. 52 Delegación de la administración de GPO controlados ...................................................... 53
Importación de GPO de producción ................................................................................. 54
Protección de GPO ............................................................................................................. 54
Implementación de GPO ..................................................................................................... 55
Reversión a una versión anterior de GPO ........................................................................... 56
Eliminación, restauración o destrucción de GPO ................................................................. 57
Eliminación de GPO controlados ..................................................................................... 57
Restauración de GPO eliminados .................................................................................... 58
Destrucción de GPO ........................................................................................................ 59 Realización de tareas del revisor ............................................................................................ 60
Configuración de una conexión con el servidor de AGPM ................................................... 60
Revisión de la configuración de GPO .................................................................................. 61
Revisión de enlaces de GPO .............................................................................................. 61
Identificación de diferencias entre GPO, versiones de GPO o plantillas ............................... 62
Solución de problemas de AGPM ........................................................................................... 65
Interfaz de usuario: Advanced Group Policy Management ...................................................... 68
Ficha Contenido.................................................................................................................. 68
Configuración de la ficha Contenido................................................................................. 69 Ventana Historial ............................................................................................................. 71
Comandos de GPO controlados ...................................................................................... 73
Comandos de GPO sin control ........................................................................................ 77
Comandos de GPO pendientes ....................................................................................... 78
Comandos de plantillas ................................................................................................... 80
Comandos de la papelera de reciclaje ............................................................................. 82
Ficha Delegación de dominio .............................................................................................. 83
Ficha Servidor AGPM ......................................................................................................... 85
Ficha Delegación de producción ......................................................................................... 86 Carpeta Plantillas administrativas ....................................................................................... 86
Configuración de registro y seguimiento .......................................................................... 87
Configuración de conexión con el servidor de AGPM ....................................................... 87
Configuración de la visibilidad de características ............................................................. 88
5
Guía de operaciones de Microsoft Advanced Group Policy Management 4.0
Puede usar Microsoft Administración de directivas de grupos (AGPM) para ampliar las
capacidades de Consola de administración de directivas de grupo (GPMC). AGPM permite un
control completo de los cambios y una administración mejorada de los Objetos de directiva de
grupo (GPO).
Mediante AGPM, puede llevar a cabo estas tareas:
Realizar la edición de GPO sin conexión, de forma que pueda crearlos y probarlos antes de
implementarlos en un entorno de producción.
Mantener varias versiones de un GPO en un archivo central, de forma que pueda revertir los
cambios si se produce algún problema.
Compartir la responsabilidad de la edición, aprobación y revisión de los GPO entre varios
mediante una delegación basada en funciones.
Eliminar el riesgo de que varios administradores de directiva de grupo puedan sobrescribir el
trabajo del resto, gracias a la capacidad de protección y desprotección de GPO.
Analizar cambios en un GPO, comparándolos con otros GPO u otras versiones del mismo
GPO a través de los informes de diferencias.
Simplificar la creación de nuevos GPO mediante plantillas de GPO, que permiten almacenar
la configuración de directiva común y la configuración de preferencias para usarlas como
punto de partida para nuevos GPO.
Delegación de acceso al entorno de producción.
Busque GPO con atributos concretos y filtre la lista de GPO que se muestra.
Exporte un FPO a un archivo de modo que pueda copiarlo de un dominio de un bosque de
prueba en un dominio de un bosque de producción.
AGPM agrega una carpeta Control de cambios para cada dominio que aparece en GPMC, así
como una ficha Historial para cada GPO y vínculo de directiva de grupo que aparezcan en
GPMC.
Introducción de Advanced Group Policy Management
Prácticas recomendadas para el control de versiones
Lista de comprobación: administración del servidor AGPM y el archivo
Lista de comprobación: Creación, edición e implementación de GPO
Búsqueda y filtrado de la lista de GPO
Realización de tareas del administrador de AGPM
Realización de tareas del editor
Realización de tareas del aprobador
6
Realización de tareas del revisor
Solución de problemas de AGPM
Interfaz de usuario: Advanced Group Policy Management
Introducción de Advanced Group Policy Management Puede usar Administración de directivas de grupos (AGPM) para ampliar las capacidades de la
Consola de administración de directivas de grupo (GPMC) permitiendo un control de cambios
exhaustivo y mejorando la administración de Objetos de directiva de grupo (GPO).
Desarrollo de objetos de directiva de grupo con control de cambios
Con AGPM, puede almacenar una copia de cada GPO en un archivo central, de forma que los
administradores de directiva de grupo puedan verlo y cambiarlo sin conexión sin afectar de
inmediato a la versión implementada de cada GPO. Asimismo, AGPM almacena una copia de
cada versión de cada GPO controlado en el archivo, de modo que pueda revertir a una versión
anterior, en el caso de que fuera necesario.
Los términos "proteger" y "desproteger" se utilizan de la misma manera que en una biblioteca (o
en las aplicaciones que proporcionan control de cambios, control de versiones o control de
código fuente para el desarrollo de la programación). Para utilizar un libro de la biblioteca,
sáquelo de la biblioteca. Nadie podrá utilizarlo mientras lo haya sacado. Cuando haya terminado
el libro, devuélvalo a la biblioteca para que otros puedan utilizarlo.
Al desarrollar GPO mediante AGPM:
1. Cree un nuevo GPO controlado o controle un GPO anteriormente sin control.
2. Desproteja el GPO, para que usted y sólo usted pueda cambiarlo.
3. Edite el GPO.
4. Proteja el GPO editado para que otros puedan cambiarlo o para que se pueda implementar.
5. Revise los cambios.
6. Implemente el GPO en el entorno de producción.
Delegación basada en funciones
AGPM permite una delegación completa, basada en funciones y de fácil utilización para
administrar el acceso a los GPOs del archivo. Los permisos de nivel de dominio permiten que los
Administradores de AGPM proporcionen acceso a dominios individuales sin permitir el acceso a
otros dominios. La delegación basada en GPO permite que los Administradores de AGPM
proporcionen acceso a GPO concretos sin proporcionar acceso en todo el dominio.
Dentro de AGPM, existen funciones definidas específicamente: Administrador AGPM (Control
total), Aprobador, Editor y Revisor. En la función Administrador de AGPM se incluyen los
7
permisos de las demás funciones. De forma predeterminada, sólo los aprobadores tienen la
capacidad de implementar GPO en el entorno de producción de un dominio, protegiendo el
entorno de errores involuntarios por parte de editores con menos experiencia. Asimismo, de
forma predeterminada, todas las funciones incluyen la función Revisor y, por lo tanto, la
capacidad de ver la configuración de GPO en los informes. Sin embargo, AGPM proporciona un
Administrador de AGPM con la flexibilidad para personalizar el acceso a GPO para ajustarse a
las necesidades de la organización.
Delegación en entornos de varios administradores de directiva de grupo
En un entorno en el que varias personas realizan cambios en los GPO, un Administrador de
AGPM delega el permiso en los editores, aprobadores y revisores, como grupos o individuos.
Para un proceso de desarrollo de GPO habitual para un Editor y un Aprobador, consulte Lista de
comprobación: Creación, edición e implementación de GPO.
Referencias adicionales
Guía de operaciones de Microsoft Advanced Group Policy Management 4.0
Prácticas recomendadas para el control de versiones Microsoft Administración de directivas de grupos (AGPM) permite el control de versiones de
Objetos de directiva de grupo (GPO) de forma parecida al modo en que Microsoft Visual
SourceSafe® permite el control de versiones del código fuente. Los desarrolladores pueden usar
Visual SourceSafe para administrar varias versiones de cada archivo de código fuente. Los
administradores de directivas de grupo pueden usar AGPM para hacer lo mismo con los GPO.
Cuando se usa AGPM, los administradores de directiva de grupo deben conocer las
recomendaciones aplicables al sistema de control de versiones:
Fecha y hora: AGPM marca cada versión de un GPO con la fecha y la hora. Para
asegurarse de que el historial es preciso, en especial cuando modifique los GPO en más de
un equipo, asegúrese de que cada equipo sincroniza su reloj con un origen de tiempo
autorizado.
Proteja los GPO cuando haya terminado de modificarlos: Es habitual que los editores
desprotejan los GPO y se olviden de volver a protegerlos en el archivo. Sin embargo, esto
puede impedir que otros administradores de directiva de grupo cambien el GPO. Vuelva a
proteger los GPO siempre inmediatamente cuando haya terminado de modificarlos.
Guarde los cambios con frecuencia: Al modificar un GPO, guarde los cambios
frecuentemente. La mayor parte de los editores desprotegen un GPO, realizan cambios y
luego lo protegen en el archivo. En cambio, proteja el GPO en el archivo con regularidad y
después vuelva a desprotegerlo. El detalle puede ser tan pequeño como proteger el GPO
después de cambiar cada opción (no se recomienda) o después de hacer varios cambios
8
relacionados. El resultado es un historial mejor documentado para cada GPO que ayude en
la solución de problemas.
Implemente los GPO con frecuencia: No permita que los GPO nuevos y los modificados
que aún no hayan sido implementados se acumulen en grandes cantidades en el archivo. En
cambio, implemente los GPO nuevos y modificados en cuanto sea posible para que tengan
un efecto mínimo en el entorno de producción. Al implementar muchos GPO nuevos y
modificados a la vez se puede poner en peligro el entorno de producción.
Documente la finalidad de los cambios al proteger los GPO: Un revisor puede comparar
las versiones de un GPO para ver los cambios específicos entre las dos. Documentar estos
cambios concretos no aporta ningún valor. En cambio, documente la intención y finalidad de
un cambio en lugar de lo que pueden ver los revisores si examinan informes diferentes. Los
comentarios de la versión pueden aportar un valor al informe de comparación y ayudar a los
revisores a entender el motivo por el que el editor cambió el GPO.
Pruebe los GPO en un entorno de prueba: La implementación de GPO en el entorno de
producción sin probarlos es arriesgado. En cambio, pruebe los GPO en un dominio de un
bosque de prueba y luego expórtelos a archivos e impórtelos en un dominio de un bosque de
producción. Además, puede vincular los GPO a una unidad organizativa que contenga
equipos y usuarios de prueba. Compruebe que cada GPO funciona correctamente en el
entorno de prueba y luego impleméntelos en el entorno de producción.
Referencias adicionales
Guía de operaciones de Microsoft Advanced Group Policy Management 4.0
Lista de comprobación: administración del servidor AGPM y el archivo En Administración de directivas de grupos (AGPM), los Administradores AGPM (Control total)
administran tanto el servicio AGPM como el archivo. Las siguientes son las tareas habituales de
un Administrador de AGPM.
Tarea frecuente Referencia
Delegación de acceso a Objetos de directiva
de grupo (GPO) en el archivo.
Delegación de acceso de nivel de dominio al
archivo
Delegación de acceso a GPO individuales en el
archivo
Copia de seguridad del archivo para permitir la
recuperación ante desastres.
Creación de una copia de seguridad del
archivo
9
Tarea inusual Referencia
Restauración del archivo a partir de una copia
de seguridad para recuperarse de un desastre.
Restauración del archivo a partir de una copia
de seguridad
Movimiento del servicio AGPM, el archivo o
ambos a otro servidor.
Movimiento del servidor de AGPM y del archivo
Cambio de la ruta de acceso al archivo, la
cuenta de servicio AGPM o el puerto en el que
el servicio AGPM escucha.
Modificación del servicio AGPM
Solución de problemas comunes del servidor
AGPM.
Solución de problemas de AGPM
Configuración de registro y seguimiento
Referencias adicionales
Guía de operaciones de Microsoft Advanced Group Policy Management 4.0
Lista de comprobación: Creación, edición e implementación de GPO En un entorno en el que varias personas realizan cambios en los Objetos de directiva de grupo
(GPO) mediante Administración de directivas de grupos (AGPM), un Administrador AGPM
(Control total) delega el permiso en los editores, aprobadores y revisores, como grupos o
individuos. A continuación se muestra el proceso de desarrollo de GPO típico del editor y del
aprobador.
Tarea Referencia
El editor solicita la creación de un nuevo GPO
o el aprobador crea un nuevo GPO.
Solicitud de creación de nuevos GPO
controlados
Creación de nuevos GPO controlados
El aprobador aprueba la creación del GPO si
así se lo solicita el editor.
Aprobación o rechazo de acciones pendientes
El editor desprotege una copia del GPO del
archivo, así que nadie más puede modificarlo.
El editor realiza cambios y, a continuación,
protege el GPO modificado en el archivo.
Edición de GPO sin conexión
Si se desarrolla en un bosque de prueba, el
editor exporta el GPO a un archivo, transfiere
este al bosque de producción e importa el
archivo. Además, un editor puede vincular el
Uso de un entorno de prueba
10
Tarea Referencia
GPO a una unidad organizativa que contenga
equipos y usuarios de prueba.
El editor solicita la implementación del GPO en
el entorno de producción del dominio.
Solicitud de implementación de GPO
Los revisores, como los aprobadores o los
editores, analizan el GPO.
Realización de tareas del revisor
El aprobador aprueba e implementa el GPO en
el entorno de producción del dominio o lo
rechaza.
Aprobación o rechazo de acciones pendientes
Referencias adicionales
Guía de operaciones de Microsoft Advanced Group Policy Management 4.0
Búsqueda y filtrado de la lista de GPO En Administración de directivas de grupos (AGPM), puede buscar en la lista de Objetos de
directiva de grupo (GPO) y sus atributos para filtrar la lista de GPO que se muestra. Por ejemplo,
puede buscar los GPO con un nombre, estado o comentario concreto. También puede buscar los
GPO que cambió un administrador de directiva de grupo en particular o en una fecha
determinada.
Realización de una búsqueda compleja
Puede realizar una búsqueda compleja usando el formato Atributo 1 de GPO: cadena de
búsqueda 1 atributo 2 de GPO: cadena de búsqueda 2…cadenas de búsqueda de todas las
columnas. La búsqueda no distingue mayúsculas y minúsculas.
Atributo de GPO: cualquier encabezado de columna de la lista de GPO de AGPM que no
sea Versión de equipo ni Versión de usuario. Entre los atributos de GPO se incluyen el
nombre de GPO, el estado, el usuario que cambió por última vez el GPO, la fecha y la hora
en que se cambió por última vez el GPO, un comentario, el estado de GPO y el filtro de WMI
aplicado al GPO.
Cadena de búsqueda: texto que buscar en la columna especificada. Si una cadena
contiene espacios, debe incluirla entre comillas.
Cadenas de búsqueda de todas las columnas: texto que buscar en todas las columnas de
la lista de GPO de AGPM que no sea Versión de equipo ni Versión de usuario. Puede
incluir varias cadenas separadas por espacios. Si una cadena contiene espacios, debe
incluirla entre comillas.
Cada par de atributo de GPO y cadena de búsqueda, y cada cadena de búsqueda de todas las
columnas se combinan con una operación lógica AND. El resultado es una lista de todos los
11
GPO para los que cada atributo especificado incluya la cadena de búsqueda especificada y para
los que las cadenas de búsqueda de todas las columnas aparezcan al menos en una columna.
La búsqueda devuelve las coincidencias parciales de las cadenas de modo que se puede escribir
parte del nombre de un GPO o de un usuario, y ver una lista de todos los GPO que incluyen ese
texto en su nombre.
Los siguientes son ejemplos de búsqueda:
Descripción del resultado de la búsqueda Consulta de búsqueda
Todos los GPO cuyo nombre incluya el texto
seguridad y Norte América.
nombre: seguridad nombre: "Norte América"
Todos los GPO desprotegidos. estado: "desprotegido"
Todos los GPO que el usuario denominado
Administrador ha cambiado recientemente o
que han cambiado el mes anterior.
cambiado por: Administrador fecha de
cambio: lastmonth
Todos los GPO en los que se incluye la
palabra firewall en el comentario más reciente
y en los que la palabra seguridad aparece en
alguna columna.
comentario: firewall seguridad
Todos los GPO que tienen el estado Todos
los valores de configuración
deshabilitados.
estado de gpo: todos
Todos los GPO que tienen aplicado un filtro
WMI denominado Mi filtro WMI y el estado
Configuración de usuario deshabilitada.
filtro wmi: "Mi filtro WMI" estado de
gpo: usuario
Especificación de fechas
Puede buscar los GPO que han cambiado en una fecha concreta, una hora específica o durante
un intervalo de tiempo utilizando los mismos términos especiales disponibles cuando se realiza
una búsqueda en Windows. Si se especifica una fecha u hora concretas, se debe usar el formato
que se utiliza en la columna Fecha de cambio. A continuación se muestran algunos ejemplos de
búsquedas de la columna Fecha de cambio:
fecha de cambio: 10/10/2009
fecha de cambio: 10/10/2009 9:00:00 a.m.
fecha de cambio: thisweek
Puede usar los siguientes términos especiales, que no distinguen mayúsculas y minúsculas, al
buscar en la columna Fecha de cambio:
Today
12
Yesterday
ThisWeek
LastWeek
ThisMonth
LastMonth
TwoMonths
ThreeMonths
ThisYear
LastYear
Consideraciones adicionales
De forma predeterminada, debe ser revisor, editor, aprobador o un Administrador AGPM
(Control total) para poder llevar a cabo este procedimiento. Más concretamente, debe tener
el permiso Mostrar contenido en lo que respecta al dominio.
Para obtener más información acerca de los atributos de GPO, vea Configuración de la ficha
Contenido.
Referencias adicionales
Guía de operaciones de Microsoft Advanced Group Policy Management 4.0
Realización de tareas del administrador de AGPM Administración de directivas de grupos (AGPM) permite que un Administrador AGPM (Control
total) configure las opciones de todo el dominio y delegue los permisos a los aprobadores,
editores, revisores y Administradores de AGPM. De forma predeterminada, un Administrador de
AGPM es alguien con control total (todos los permisos de AGPM) y que, por lo tanto, también
puede realizar tareas asociadas a cualquier función.
En un entorno en el que varias personas desarrollan Objetos de directiva de grupo (GPO), puede
optar por permitir que todos los administradores de directiva de grupo realicen las mismas tareas
y tengan el mismo nivel de acceso. O bien, puede elegir permitir que los Administradores de
AGPM deleguen los permisos a los editores que cambian los GPO y a los aprobadores que los
implementan en el entorno de producción. Los Administradores de AGPM pueden configurar los
permisos para satisfacer las necesidades de una organización.
Configuración de Advanced Group Policy Management: Configure la conexión con el
servidor de AGPM y la notificación por correo electrónico, delegue el acceso a los GPO en el
entorno de producción y configure el registro y el seguimiento para solucionar problemas.
Administración del archivo: Delegue el acceso a los GPO en el archivo, limite el número de
versiones de cada GPO almacenado, importe un GPO desde otro dominio y realice la copia
de seguridad y la restauración del archivo.
13
Administración del servicio AGPM: Detenga e inicie el servicio AGPM o cambie la ruta de
acceso al archivo, la cuenta de servicio AGPM o el puerto en el que el servicio AGPM
escucha.
Movimiento del servidor de AGPM y del archivo: Mueva el servicio AGPM, el archivo o
ambos a otro servidor.
Como la función Administrador de AGPM incluye los permisos de las funciones
restantes, un Administrador de AGPM puede realizar las tareas que, por lo general, se
asocian a cualquier otra función.
Realización de tareas del aprobador, como la creación, implementación o eliminación de GPO
Realización de tareas del editor, como la edición, cambio de nombre, etiquetado o importación
de GPO, la creación de plantillas o el establecimiento de una plantilla predeterminada
Realización de tareas del revisor, como la revisión de la configuración y la comparación de GPO
Consideraciones adicionales
De forma predeterminada, la función Administrador de AGPM tiene control total es decir, todos
los permisos de AGPM:
Mostrar contenido
Leer configuración
Editar configuración
Crear GPO
Implementar GPO
Eliminar GPO
Exportar GPO
Importar GPO
Crear plantilla
Modificar opciones
Modificar seguridad
Los permisos Modificar opciones y Modificar seguridad son exclusivos de la función
Administrador de AGPM.
Configuración de Advanced Group Policy Management
En Administración de directivas de grupos (AGPM), como Administrador AGPM (Control total),
puede configurar de forma centralizada las conexiones del servidor AGPM para los
administradores de directiva de grupo, configurar la notificación por correo electrónico de AGPM,
configurar la seguridad opcional para el correo electrónico de AGPM, delegar el acceso a los
Objetos de directiva de grupo (GPO) del entorno de producción del dominio y configurar el
registro y el seguimiento para solucionar problemas.
Notas
14
Configuración de las conexiones con el servidor de AGPM
Configuración de notificación por correo electrónico
Configuración de seguridad de correo electrónico para AGPM
Delegación de acceso al entorno de producción
Configuración de registro y seguimiento
Referencias adicionales
Para obtener información acerca de cómo delegar el acceso a los GPO en el archivo, vea
Movimiento del servidor de AGPM y del archivo.
Para obtener información acerca de cómo restringir el número de versiones de cada GPO
que se almacena en el archivo, vea Limitación de versiones de GPO almacenadas.
Realización de tareas del administrador de AGPM
Configuración de las conexiones con el servidor de AGPM
Todas las versiones de cada Objeto de directiva de grupo (GPO) controlado se almacenan en un
archivo central, de forma que los administradores de directiva de grupo pueden ver y modificar
los GPO sin conexión sin crear un impacto inmediato en la versión implementada de cada GPO.
Se requiere una cuenta de usuario con la función Administrador AGPM (Control total), la cuenta
de usuario del aprobador que ha creado el GPO utilizado en estos procedimientos o una cuenta
de usuario con los permisos necesarios en Administración de directivas de grupos (AGPM) a fin
de llevar a cabo los procedimientos de configuración central de ubicaciones de archivos para
todos los administradores de directiva de grupo. Revise los detalles en "Consideraciones
adicionales" de este tema.
Configuración de las conexiones con el servidor AGPM
Como Administrador de AGPM, se puede asegurar de que todos los administradores de directiva
de grupo se conecten al mismo servidor AGPM configurando de forma centralizada los valores
asociados. Si el entorno requiere servidores AGPM independientes para algunos o todos los
dominios, configure dichos servidores AGPM adicionales como excepciones a la opción
predeterminada. Si no realiza una configuración central de las conexiones con el servidor AGPM,
cada administrador de directiva de grupo debe configurar manualmente el servidor AGPM para
que se muestre en cada dominio.
Configuración de una conexión de servidor AGPM para todos los administradores de
directiva de grupo
Configuración de conexiones de servidor AGPM adicionales para todos los administradores
de directiva de grupo
Configuración manual de una conexión del servidor AGPM para una cuenta
1. En el árbol Consola de administración de directiva de grupo, edite un GPO que se
Para configurar una conexión de servidor de AGPM para todos los administradores de directivas de grupo
15
aplique a todos los administradores de directiva de grupo. (Para obtener más
información, consulte Edición de GPO.)
2. En la ventana Editor de administración de directivas de grupo, haga clic en
Configuración de usuario, Directivas, Plantillas administrativas, Componentes de
Windows y AGPM.
3. En el panel de detalles, haga doble clic en AGPM: especificar servidor AGPM
predeterminado (todos los dominios).
4. En la ventana Propiedades, active la casilla Habilitado y escriba el puerto y el nombre
del equipo completos (por ejemplo, server.contoso.com:4600).
5. Haga clic en Aceptar. A menos que desee configurar más conexiones con el servidor
AGPM, cierre la ventana Editor de administración de directivas de grupo e
implemente el GPO. (Para obtener más información, consulte Implementación de GPO.)
Al actualizar una directiva de grupo, la conexión con el servidor de AGPM se configura
para todos los administradores de directiva de grupo.
1. Si no se ha configurado ninguna conexión con el servidor de AGPM, siga el
procedimiento anterior para configurar un servidor AGPM predeterminado para todos los
dominios.
2. Para configurar servidores AGPM independientes para algunos o todos los dominios
(con lo que se invalida el servidor AGPM predeterminado), en el árbol Consola de
administración de directiva de grupo, edite un GPO que se aplique a todos los
administradores de directiva de grupo. (Para obtener más información, consulte Edición
de GPO.)
3. En la ventana Editor de administración de directivas de grupo, haga clic en
Configuración de usuario, Directivas, Plantillas administrativas, Componentes de
Windows y, por último, en AGPM.
4. En el panel de detalles, haga doble clic en AGPM: especificar servidores de AGPM.
5. En la ventana Propiedades, active la casilla Habilitado y haga clic en Mostrar.
6. En la ventana Mostrar contenido:
a. Haga clic en Agregar.
b. En Nombre de valor, escriba el nombre de dominio (por ejemplo,
server1.contoso.com).
c. En Valor, escriba el puerto y el nombre del servidor AGPM que se va a usar en este
dominio (por ejemplo, server2.contoso.com:4600). A continuación, haga clic en
Aceptar. (De forma predeterminada, el servicio AGPM realiza la escucha en el
puerto 4600. Para utilizar un puerto diferente, vea Modificación del servicio
AGPM).
d. Repita los pasos para cada dominio sin usar el servidor AGPM predeterminado.
Para configurar de conexiones de servidor AGPM adicionales para todos los administradores de directiva de grupo
16
7. Haga clic en Aceptar para cerrar las ventanas Mostrar contenido y Propiedades.
8. Cierre la ventana Editor de administración de directivas de grupo. (Para obtener más
información, consulte Implementación de GPO.) Al actualizar una directiva de grupo, las
conexiones con el servidor de AGPM se configuran para todos los administradores de
directiva de grupo.
Si ya ha realizado la configuración central de la conexión con el servidor de AGPM, la opción de
configuración manual no está disponible para todos los administradores de directiva de grupo.
1. En el árbol de la Consola de administración de directivas de grupos, haga clic en
Control de cambios para el bosque y dominio en los que desea administrar los GPO.
2. En el panel de detalles, haga clic en la ficha Servidor AGPM.
3. Escriba el nombre del equipo completo en el servidor AGPM que administre el archivo
usado en este dominio (por ejemplo, server.contoso.com) y el puerto de escucha del
servicio AGPM (de forma predeterminada, el puerto 4600).
4. Haga clic en Aplicar y, a continuación, haga clic en Sí para confirmar.
Consideraciones adicionales
Es necesario que pueda editar e implementar un GPO para poder llevar a cabo los
procedimientos de configuración central de las conexiones con el servidor de AGPM de
todos los administradores de directiva de grupo. Consulte Edición de GPO e Implementación
de GPO para obtener más detalles.
El servidor AGPM seleccionado determina qué GPO se muestran en la ficha Contenido y en
qué ubicación se aplica la configuración de la ficha Delegación de dominio. Si no se
administra de forma centralizada a través de la plantilla administrativa, cada administrador de
directiva de grupo debe configurar esta opción para que apunte al servidor AGPM del
dominio.
Se necesita restringir la pertenencia al grupo Propietarios del creador de directivas de grupo
para que no se use para evitar la administración AGPM del acceso a los GPO. (En la
Consola de administración de directivas de grupos., haga clic en Objetos de directiva
de grupo en el bosque y dominio en los que desee administrar los GPO, luego haga clic en
Delegación y, a continuación, configure los ajustes de modo que cumplan con las
necesidades de su empresa.)
Referencias adicionales
Configuración de Advanced Group Policy Management
Configuración de notificación por correo electrónico
Cuando un editor o revisor trata de crear, implementar o eliminar un Objeto de directiva de grupo
(GPO), se envía una solicitud de esta acción a una o varias direcciones de correo electrónico
designadas para que un aprobador puede evaluar la solicitud e implementarla o denegarla.
Para configurar manualmente qué servidor AGPM se mostrará para su cuenta
17
Determine las direcciones de correo electrónico a las que desea enviar las notificaciones, así
como el alias desde el que se envían las notificaciones.
Se requiere una cuenta de usuario con la función Administrador AGPM (Control total) o con los
permisos adecuados en Administración de directivas de grupos (AGPM) para llevar a cabo el
procedimiento. Revise los detalles en "Consideraciones adicionales" de este tema.
1. En el árbol de la Consola de administración de directivas de grupos, haga clic en
Control de cambios para el bosque y dominio en los que desea administrar los GPO.
2. En el panel de detalles, haga clic en la ficha Delegación de dominio.
3. En el campo Desde dirección de correo electrónico, escriba el alias de correo
electrónico para AGPM desde el que se deben enviar las notificaciones.
4. En el campo A dirección de correo electrónico, escriba una lista delimitada por comas
de las direcciones de correo electrónico de los aprobadores que deben recibir las
solicitudes de aprobación.
5. En el campo Servidor SMTP, escriba un servidor de correo SMTP válido.
6. En los campos Nombre de usuario y Contraseña, escriba las credenciales de un
usuario con acceso al servicio SMTP.
7. Haga clic en Aplicar.
Consideraciones adicionales
De forma predeterminada, debe ser un Administrador AGPM (Control total) para poder llevar
a cabo este procedimiento. Más concretamente, debe tener los permisos Mostrar contenido
y Modificar opciones en lo que respecta al dominio.
La notificación por correo electrónico para AGPM es una configuración a nivel de dominio.
Puede proporcionar distintas direcciones de correo electrónico de un aprobador o alias de
correo electrónico de AGPM en la ficha Delegación de dominio de cada dominio o utilizar
las mismas direcciones de correo electrónico en todo el entorno.
De forma predeterminada, no se cifran los mensajes de correo electrónico que se envían
como resultado de las acciones en Administración de directivas de grupos (AGPM). Sin
embargo, puede configurar la seguridad de correo electrónico para AGPM mediante la
configuración del registro para especificar si se desea utilizar o no el cifrado Capa de sockets
seguros (SSL) y el puerto SMTP que se va a utilizar. Para obtener más información, vea
Configuración de seguridad de correo electrónico para AGPM .
Referencias adicionales
Configuración de Advanced Group Policy Management
Configuración de seguridad de correo electrónico para AGPM
De forma predeterminada, las notificaciones por correo electrónico que se han enviado debido a
las acciones de Administración de directivas de grupos (AGPM) no están cifradas y se envían a
Para configurar la notificación por correo electrónico para AGPM
18
través del puerto SMTP 25. Sin embargo, puede configurar la seguridad de correo electrónico
para AGPM mediante la configuración del Registro para especificar si se desea utilizar o no el
cifrado de Capa de sockets seguros (SSL) y el puerto SMTP que se va a utilizar.
Al cifrar las notificaciones por correo electrónico de AGPM, puede proteger mejor las que podrían
revelar información confidencial acerca de la seguridad de la organización. Se recomienda cifrar
las notificaciones por correo electrónico cuando se vayan a retransmitir a través de servidores de
correo remotos y puede que lo requieran algunas legislaciones de cumplimiento.
La edición incorrecta del Registro puede causar graves daños al sistema. Antes de
realizar cambios en el Registro, debe hacer una copia de seguridad de los datos de valor
guardados en el equipo.
Se requiere una cuenta de usuario que tenga la función Administrador AGPM (Control total), la
cuenta de usuario del aprobador que ha creado el Objeto de directiva de grupo (GPO) que se
utiliza en estos procedimientos o una cuenta de usuario con los permisos necesarios en AGPM a
fin de llevar a cabo estos procedimientos. Revise los detalles en "Consideraciones adicionales"
de este tema.
1. En el árbol Consola de administración de directiva de grupo, edite un GPO que se
aplique a todos los servidores AGPM para los que desea configurar la seguridad de
correo electrónico. (Para obtener más información, consulte Edición de GPO.)
2. En la ventana Editor de administración de directivas de grupo, expanda las carpetas
Configuración del equipo, Preferencias, Configuración de Windows y Registro.
3. En el árbol de consola, haga clic con el botón secundario en Registro, elija Nuevo, haga
clic en Elemento de recopilación y escriba Seguridad de correo electrónico para
AGPM.
4. Creación de elementos de preferencias de registro para activar el cifrado:
a. En el árbol de consola, haga clic con el botón secundario en Seguridad de correo
electrónico para AGPM, elija Nuevo y haga clic en Elemento del Registro.
b. En el cuadro de diálogo Nuevas propiedades de registro, haga clic en la acción
Actualizar.
c. Para Subárbol, seleccione HKEY_LOCAL_MACHINE.
d. Para Ruta de la clave, escriba SOFTWARE\Microsoft\AGPM.
e. Para Nombre de valor, escriba EncryptSmtp.
f. Para Tipo de valor, escriba REG_DWORD.
g. En Base, seleccione Decimal y en Información del valor, escriba 1 para utilizar el
cifrado SSL o 0 para permitir que el correo electrónico se envíe sin cifrar. De forma
predeterminada, el correo electrónico se envía sin cifrado. Haga clic en Aceptar.
Precaución
Para configurar la seguridad de correo electrónico para AGPM mediante las preferencias de directivas de grupo
19
5. Creación de elementos de preferencias de registro para especificar el puerto SMTP:
a. En el árbol de consola, haga clic con el botón secundario en Seguridad de correo
electrónico para AGPM, elija Nuevo y haga clic en Elemento del Registro.
b. En el cuadro de diálogo Nuevas propiedades de registro, haga clic en la acción
Actualizar.
c. Para Subárbol, seleccione HKEY_LOCAL_MACHINE.
d. En Ruta de la clave, escriba SOFTWARE\Microsoft\AGPM.
e. Para Nombre de valor, escriba SmtpPort.
f. Para Tipo de valor, escriba REG_DWORD.
g. En Base, seleccione Decimal y en Información del valor, escriba un número de
puerto para el puerto SMTP. De forma predeterminada, el puerto SMTP es el puerto
25 si el cifrado no está habilitado o el puerto 587 si está habilitado el cifrado SSL.
Haga clic en Aceptar.
6. Cierre la ventana Editor de administración de directivas de grupo y, a continuación,
proteja e implemente el GPO. Para obtener más información, vea Implementación de
GPO.
Consideraciones adicionales
Debe poder editar e implementar un GPO para establecer la configuración del Registro
mediante las preferencias de directivas de grupo. Consulte Edición de GPO e
Implementación de GPO para obtener más detalles.
Referencias adicionales
Configuración de Advanced Group Policy Management
Delegación de acceso al entorno de producción
En Administración de directivas de grupos (AGPM), puede cambiar el acceso al Objetos de
directiva de grupo (GPO) en el entorno de producción del dominio reemplazando los permisos
existentes en esos GPO. Puede configurar los permisos en el nivel de dominio para permitir o
impedir que los usuarios editen, eliminen o modifiquen la seguridad de los GPO en el entorno de
producción cuando no usan la carpeta Cambiar control en Consola de administración de
directivas de grupo (GPMC).
Cambiar el modo en que se delega el acceso al entorno de producción no afecta a la
capacidad de los usuarios para vincular los GPO.
Cuando se controlan o se implementan los GPO, se elimina el acceso a otras cuentas
excepto a las que tienen permisos de lectura y de aplicación de permisos.
Para llevar a cabo el procedimiento se requiere una cuenta de usuario que tenga la función de
Administrador AGPM (Control total) o los permisos necesarios en Administración de directivas de
grupos (AGPM). Revise los detalles en "Consideraciones adicionales" de este tema.
Notas
20
1. En el árbol de la Consola de administración de directivas de grupos, haga clic en
Control de cambios para el bosque y dominio en los que desea administrar los GPO.
2. Haga clic en la ficha Delegación de producción.
3. Para agregar permisos para un usuario o grupo que no tiene acceso al entorno de
producción o para reemplazar los permisos de un usuario o grupo que sí tiene acceso:
a. Haga clic en Agregar, seleccione un usuario o grupo, y haga clic en Aceptar.
b. Seleccione los permisos que desea delegar a ese usuario o grupo para el entorno de
producción, y haga clic en Aceptar.
4. Para quitar todos los permisos del entorno de producción para un usuario o un grupo,
seleccione el usuario o el grupo, haga clic en Quitar y, a continuación, en Aceptar.
Consideraciones adicionales
De forma predeterminada, debe ser un Administrador AGPM (Control total) para poder llevar
a cabo este procedimiento. Más concretamente, debe tener el permiso Modificar seguridad
para el dominio.
Los permisos para la cuenta de servicio AGPM no se pueden cambiar en la ficha
Delegación de producción.
De forma predeterminada, las siguientes cuentas tienen permisos de GPO en el entorno de
producción:
Cuenta Permisos predeterminados de GPO
<Cuenta de servicio AGPM> Editar configuración, eliminar, modificar
seguridad
Usuarios autenticados Leer, aplicar
Administradores del dominio Editar configuración, eliminar, modificar
seguridad
Administradores de organización Editar configuración, eliminar, modificar
seguridad
Controladores de dominio empresariales Leer
Sistema Editar configuración, eliminar, modificar
seguridad
Se necesita restringir la pertenencia al grupo Propietarios del creador de directivas de grupo
para que no se use para evitar la administración AGPM del acceso a los GPO. (En la
Consola de administración de directivas de grupos., haga clic en Objetos de directiva
de grupo en el bosque y dominio en los que desee administrar los GPO, luego haga clic en
Para cambiar el acceso a los GPO en el entorno de producción del dominio
21
Delegación y, a continuación, configure los ajustes de modo que cumplan con las
necesidades de su empresa.)
Referencias adicionales
Configuración de Advanced Group Policy Management
Configuración de registro y seguimiento
Es posible realizar una configuración central de las funciones de registro y seguimiento
opcionales mediante las plantillas administrativas. Esto puede ser útil al diagnosticar los
problemas relacionados con Administración de directivas de grupos (AGPM).
Se requiere una cuenta de usuario con la función Administrador AGPM (Control total), la cuenta
de usuario del aprobador que ha creado el Objeto de directiva de grupo (GPO) que se utiliza en
estos procedimientos o una cuenta de usuario con los permisos necesarios en AGPM a fin de
llevar a cabo estos procedimientos. Además, se requiere una cuenta de usuario con acceso al
servidor AGPM para iniciar el registro en el servidor. Revise los detalles en "Consideraciones
adicionales" de este tema.
1. En el árbol Consola de administración de directiva de grupo, edite un GPO que se
aplique a todos los administradores de directiva de grupo para los que desea activar el
registro y el seguimiento. (Para obtener más información, consulte Edición de GPO.)
2. En la ventana Editor de administración de directivas de grupo, haga clic en
Configuración de equipo, Directivas, Plantillas administrativas, Componentes de
Windows y AGPM.
3. En el panel de detalles, haga doble clic en AGPM: configurar registro.
4. En la ventana Propiedades, haga clic en Habilitado y configure el nivel de detalle que
desea en los registros.
5. Haga clic en Aceptar.
6. Cierre la ventana Editor de administración de directivas de grupo. (Para obtener más
información, consulte Implementación de GPO.) Una vez actualizada la directiva de
grupo, debe reiniciar el servicio AGPM para que inicie, modifique o detenga el registro en
el servidor AGPM. Los administradores de directiva de grupo deben cerrar y reiniciar el
GPMC para que inicie, modifique o detenga el registro en los equipos.
Rastrear ubicaciones de archivos:
Cliente: %LocalAppData%\Microsoft\AGPM\agpm.log
Servidor: %ProgramData%\Microsoft\AGPM\agpmserv.log
Consideraciones adicionales
Para poder configurar el registro y seguimiento de AGPM, debe poder editar e implementar
un GPO. Consulte Edición de GPO e Implementación de GPO para obtener más detalles.
Referencias adicionales
Para configurar el registro y el seguimiento en AGPM
22
Configuración de Advanced Group Policy Management
Administración del archivo
En Administración de directivas de grupos (AGPM), como Administrador AGPM (Control total),
administra el acceso al archivo y tiene la opción de eliminar el número de cada Objeto de
directiva de grupo (GPO) almacenado en el archivo. También puede delegar el acceso a los
GPO en el archivo en el nivel de dominio o en el nivel de GPO. Además, puede hacer la copia de
seguridad del archivo para que se pueda recuperar si se produce un desastre.
Como Administrador de AGPM, puede exportar un GPO a un archivo, copiar el archivo en otro
bosque y después importar el GPO en un dominio de ese bosque. A diferencia de los editores,
puede importar la configuración de directiva desde una copia de seguridad de GPO directamente
en un nuevo GPO controlado al crearlo. Para obtener información acerca de cómo exportar un
GPO, vea Exportación de un GPO a un archivo.
Delegación de acceso de nivel de dominio al archivo
Delegación de acceso a GPO individuales en el archivo
Limitación de versiones de GPO almacenadas
Importación de GPO desde un archivo
Creación de una copia de seguridad del archivo
Restauración del archivo a partir de una copia de seguridad
Referencias adicionales
Para obtener información acerca de cómo delegar el acceso a los GPO en el entorno de
producción, vea Delegación de acceso al entorno de producción.
Para obtener información acerca de cómo mover el archivo, vea Movimiento del servidor de
AGPM y del archivo.
Realización de tareas del administrador de AGPM
Delegación de acceso de nivel de dominio al archivo
Configure la delegación de su entorno de forma que los administradores de directiva de grupo
tengan los derechos adecuados y control sobre los Objetos de directiva de grupo (GPO) en el
archivo. Existen permisos básicos que puede aplicar para conseguir un funcionamiento más
eficaz. Puede otorgar los permisos como desee, de forma que se ajusten a las necesidades de
su organización.
Se requiere una cuenta de usuario con la función Administrador AGPM (Control total) o con los
permisos adecuados en Administración de directivas de grupos (AGPM) para llevar a cabo el
procedimiento. Revise los detalles en "Consideraciones adicionales" de este tema.
1. En el árbol de la Consola de administración de directivas de grupos, haga clic en
Para delegar acceso a fin de que los usuarios y los grupos tengan los permisos
adecuados para todos los GPO de un dominio
23
Control de cambios para el bosque y dominio en los que desea administrar los GPO.
2. Haga clic en la ficha Delegación de dominio y configure el acceso a todos los GPO del
dominio:
a. Para agregar acceso de un usuario o un grupo, haga clic en el botón Agregar,
seleccione el usuario o el grupo, y haga clic en Aceptar. En el cuadro de diálogo
Agregar grupo o usuario, seleccione una función y haga clic en Aceptar.
b. Para quitar el acceso de un usuario o un grupo, selecciónelo y haga clic en el botón
Quitar.
c. Para modificar las funciones y los permisos delegados a un usuario o grupo, haga
clic en el botón Opciones avanzadas. En el cuadro de diálogo Permisos,
seleccione el usuario o grupo y active la casilla de cada función para asignársela a
dicho usuario o grupo. A continuación, haga clic en Aceptar.
Nota
Las funciones Editor y Aprobador incluyen los permisos de la función
Revisor.
Consideraciones adicionales
De forma predeterminada, debe ser un Administrador AGPM (Control total) para poder llevar
a cabo este procedimiento. Más concretamente, debe tener el permiso Modificar seguridad
para el dominio.
Para delegar el acceso de lectura a los administradores de directivas de grupo que utilicen
AGPM, debe otorgarles los permisos Mostrar contenido y Leer configuración. Esto les
permitirá ver los GPO en la ficha Contenido de AGPM. Otros permisos se deben delegar de
forma explícita.
Los editores deben tener el permiso Lectura en la copia implementada de un GPO para
poder usar por completo la instalación de software de directivas de grupo.
Se necesita restringir la pertenencia al grupo Propietarios del creador de directivas de grupo
para que no se use para evitar la administración AGPM del acceso a los GPO. (En la
Consola de administración de directivas de grupos., haga clic en Objetos de directiva
de grupo en el bosque y dominio en los que desee administrar los GPO, luego haga clic en
Delegación y, a continuación, configure los ajustes de modo que cumplan con las
necesidades de su empresa.)
Referencias adicionales
Administración del archivo
Delegación de acceso a GPO individuales en el archivo
Como Administrador AGPM (Control total), puede delegar la administración de un Objeto de
directiva de grupo (GPO) controlado en el archivo, de forma que los editores y grupos
seleccionados puedan editarlo, los revisores puedan revisarlo y, por último, los aprobadores
puedan aprobarlo.
24
Se requiere una cuenta de usuario con la función Administrador AGPM (Control total), la cuenta
de usuario del aprobador que ha creado el GPO o una cuenta de usuario con los permisos
necesarios en Administración de directivas de grupos (AGPM) a fin de llevar a cabo el
procedimiento. Revise los detalles en "Consideraciones adicionales" de este tema.
1. En el árbol de la Consola de administración de directivas de grupos, haga clic en
Control de cambios para el bosque y dominio en los que desea administrar los GPO.
2. En la ficha Contenido del panel de detalles, haga clic en la ficha Controlado para
mostrar los GPO controlados y, a continuación, haga clic en el GPO para delegar:
a. Para agregar acceso de un usuario o un grupo, haga clic en el botón Agregar,
seleccione el usuario o el grupo, y haga clic en Aceptar. En el cuadro de diálogo
Agregar grupo o usuario, seleccione una función y haga clic en Aceptar.
b. Para quitar el acceso de un usuario o un grupo, selecciónelo y haga clic en el botón
Quitar.
Nota
Si un usuario o un grupo hereda acceso a todo el dominio, el botón
Quitar no aparece disponible. Es posible modificar el acceso a todo el
dominio en la ficha Delegación de dominio.
c. Para modificar las funciones y los permisos delegados a un usuario o grupo, haga
clic en el botón Opciones avanzadas. En el cuadro de diálogo Permisos,
seleccione el usuario o grupo y active la casilla de cada función para asignársela a
dicho usuario o grupo. A continuación, haga clic en Aceptar.
Nota
Las funciones Editor y Aprobador incluyen los permisos de la función
Revisor.
Consideraciones adicionales
De forma predeterminada, debe ser el aprobador que ha creado o controlado el GPO o un
Administrador AGPM (Control total) para poder llevar a cabo este procedimiento. Más
concretamente, debe tener el permiso Mostrar contenido en el dominio y el permiso
Modificar seguridad en el GPO.
Para delegar el acceso de lectura a los administradores de directivas de grupo que utilicen
AGPM, debe otorgarles los permisos Mostrar contenido y Leer configuración. Esto les
permitirá ver los GPO en la ficha Contenido de AGPM. Otros permisos se deben delegar de
forma explícita.
Los editores deben tener el permiso Lectura en la copia implementada de un GPO para
poder usar por completo la instalación de software de directivas de grupo.
Se necesita restringir la pertenencia al grupo Propietarios del creador de directivas de grupo
para que no se use para evitar la administración AGPM del acceso a los GPO. (En la
Para delegar la administración de un GPO controlado
25
Consola de administración de directivas de grupos., haga clic en Objetos de directiva
de grupo en el bosque y dominio en los que desee administrar los GPO, luego haga clic en
Delegación y, a continuación, configure los ajustes de modo que cumplan con las
necesidades de su empresa.)
Referencias adicionales
Administración del archivo
Limitación de versiones de GPO almacenadas
De forma predeterminada, todas las versiones de cada Objeto de directiva de grupo (GPO)
controlado se conservan en el servidor AGPM. Sin embargo, es posible limitar el número de
versiones conservadas para cada GPO y eliminar versiones antiguas una vez superado el límite.
Al eliminar versiones de GPO, un registro de dicha versión permanece en el historial del GPO,
aunque la propia versión de GPO se elimina del archivo.
Se requiere una cuenta de usuario con la función Administrador AGPM (Control total) o con los
permisos adecuados en Administración de directivas de grupos (AGPM) para llevar a cabo el
procedimiento. Revise los detalles en "Consideraciones adicionales" de este tema.
1. En el árbol de la Consola de administración de directivas de grupos, haga clic en
Control de cambios para el bosque y dominio en los que desea administrar los GPO.
2. En el panel de detalles, haga clic en la ficha Servidor AGPM.
3. Active la casilla Suprimir versiones anteriores de cada GPO del archivo y escriba el
número máximo de versiones de GPO que se van a almacenar para cada GPO, sin
incluir la versión actual. Para conservar sólo la versión actual, escriba 0. El máximo no
debe ser superior a 999.
Importante
Sólo las versiones de GPO que aparecen en la ficha Versiones únicas de la
ventana Historial cuentan con respecto al límite.
4. Haga clic en el botón Aplicar.
Consideraciones adicionales
De forma predeterminada, debe ser un Administrador AGPM (Control total) para poder llevar
a cabo este procedimiento. Más concretamente, debe tener los permisos Mostrar contenido
y Modificar opciones en lo que respecta al dominio.
Puede impedir que se elimine una versión de GPO si la marca en el historial como no apto
para eliminación. Para ello, haga clic con el botón secundario en la versión del historial del
GPO y haga clic en No eliminar.
Referencias adicionales
Administración del archivo
Para limitar el número de versiones de GPO almacenadas
26
Importación de GPO desde un archivo
En Administración de directivas de grupos (AGPM), si es Administrador AGPM (Control total) y
ha exportado un Objeto de directiva de grupo (GPO) a un archivo CAB, puede importar la
configuración de directiva de ese GPO en un GPO nuevo o existente de un dominio de otro
bosque. Para obtener información acerca de cómo exportar la configuración de GPO a un
archivo CAB, vea Exportación de un GPO a un archivo.
Se requiere una cuenta de usuario con la función Administrador AGPM (Control total) o los
permisos necesarios en AGPM a fin de importar la configuración de directiva en un nuevo GPO
controlado. Se requiere una cuenta de usuario con la función Administrador AGPM (Control total)
o Editor, o los permisos necesarios en AGPM a fin de importar la configuración de directiva en un
GPO existente. Revise los detalles en "Consideraciones adicionales" de este tema.
Importación de la configuración de directiva de un archivo
Al importar la configuración de directiva de un archivo, puede importarla en un GPO nuevo o en
uno existente. Sin embargo, si importa la configuración de directiva en un GPO existente, se
reemplaza toda la configuración de directiva dentro del mismo.
Importación de la configuración de directiva en un GPO nuevo controlado
Importación de la configuración de directiva en un GPO existente
1. En el árbol Consola de administración de directiva de grupo, haga clic en Cambiar
control en el dominio en el que desea importar la configuración de directiva.
2. En la ficha Contenidos, haga clic en Controlado para mostrar los GPO controlados.
3. Creación de un GPO nuevo controlado. En el cuadro de diálogo Nuevo GPO
controlado, haga clic en Importar y, a continuación, haga clic en Iniciar asistente. Para
obtener más información acerca de cómo crear un GPO, vea Creación de nuevos GPO
controlados.
4. Siga las instrucciones del Asistente para importar configuración con el fin de
seleccionar una copia de seguridad de GPO, importe su configuración de directiva del
mismo para el nuevo GPO y escriba un comentario para la traza de auditoría del GPO
nuevo.
1. En el árbol Consola de administración de directiva de grupo, haga clic en Cambiar
control en el dominio en el que desea importar la configuración de directiva.
2. En la ficha Contenidos, haga clic en Controlado para mostrar los GPO controlados.
3. Desproteja el GPO de destino en el que desee importar la configuración de directiva.
4. Haga clic con el botón secundario en el GPO de destino, seleccione Importar desde y
haga clic en Archivo.
5. Siga las instrucciones del Asistente para importar configuración con el fin de
Para importar la configuración de directiva en un GPO nuevo controlado
Para importar la configuración de directiva en un GPO existente
27
seleccionar una copia de seguridad de GPO, importe su configuración de directiva para
reemplazarla en el GPO de destino y escriba un comentario para la traza de auditoría del
GPO de destino. De forma predeterminada, el GPO de destino se protege una vez que
finaliza el asistente.
Consideraciones adicionales
Para importar la configuración de directiva en un GPO nuevo controlado, debe tener los
permisos Mostrar contenido, Importar GPO y Crear GPO para el dominio. De forma
predeterminada, debe ser un Administrador de AGPM para poder llevar a cabo este
procedimiento.
Para importar la configuración de directiva en un GPO existente, debe tener los permisos
Mostrar contenido, Editar configuración e Importar GPO para el dominio y debe
desproteger el GPO. De forma predeterminada, para realizar este procedimiento debe ser un
Editor o Administrador de AGPM (Control total).
Referencias adicionales
Administración del archivo
Creación de una copia de seguridad del archivo
Para ayudar en la recuperación del archivo de Administración de directivas de grupos (AGPM) si
se produce un desastre, un Administrador AGPM (Control total) debe realizar su copia de
seguridad con frecuencia. De forma predeterminada, el archivo se crea en
%ProgramData%\Microsoft\AGPM. Sin embargo, puede especificar una ruta de acceso diferente
durante la instalación del servidor de Microsoft Advanced Group Policy Management.
Para llevar a cabo este procedimiento, es necesaria una cuenta de usuario que tenga acceso
tanto al servidor AGPM (el equipo en el que está instalado el servicio AGPM) como a la carpeta
que contenga el archivo.
1. Detenga el servicio AGPM. Para obtener más información, consulte Inicio o detención
del servicio AGPM.
2. Realice la copia de seguridad de la carpeta de archivo con el Explorador de Windows,
Xcopy, Copia de seguridad de Windows Server® u otra herramienta de copia de
seguridad. Asegúrese de hacer copia de seguridad de los archivos ocultos, del sistema y
de sólo lectura.
3. Almacene la copia de seguridad de los archivos en una ubicación segura.
4. Reinicie el servicio AGPM. Para obtener más información, consulte Inicio o detención del
servicio AGPM.
Si un Administrador de AGPM realiza una copia de seguridad del archivo con poca
frecuencia, la Objetos de directiva de grupo (GPO) de la copia de seguridad del archivo
Para crear una copia de seguridad del archivo
Nota
28
no será actual. Para asegurarse de que la copia de seguridad es actual, realice la copia
como parte de la estrategia diaria de copia de seguridad de su organización.
Referencias adicionales
Restauración del archivo a partir de una copia de seguridad
Movimiento del servidor de AGPM y del archivo
Administración del archivo
Restauración del archivo a partir de una copia de seguridad
Si se produce un desastre y el archivo de Administración de directivas de grupos (AGPM) se
daña o se destruye, un Administrador AGPM (Control total) puede restaurarlo a partir de una
copia de seguridad preparada de antemano e importar después desde el entorno de producción
del dominio los Objetos de directiva de grupo (GPO) que no estén en el archivo o para los que la
versión de producción sea más actual que la del archivo. Para obtener información acerca de
cómo restaurar una copia de seguridad de un archivo en un servidor diferente, vea Movimiento
del servidor de AGPM y del archivo.
Para llevar a cabo este procedimiento, es necesaria una cuenta de usuario que tenga acceso
tanto al servidor AGPM (el equipo en el que está instalado el servicio AGPM) como a la carpeta
que contenga el archivo.
1. Detenga el servicio AGPM. Para obtener más información, consulte Inicio o detención
del servicio AGPM.
2. Quite el archivo existente. De forma predeterminada, la carpeta del archivo es
%ProgramData%\Microsoft\AGPM, sin embargo, el Administrador de AGPM que instaló
el servidor de Microsoft Advanced Group Policy Management puede haber especificado
una ubicación diferente durante la instalación.
3. Vuelva a crear la carpeta del archivo configurando la ruta de acceso al mismo, la cuenta
del servicio AGPM, el propietario del archivo y el puerto de escucha. No es necesario
usar los mismos valores que los que se utilizaron durante la instalación original. Para
obtener más información, consulte Modificación del servicio AGPM.
4. Copie el contenido de la copia de seguridad del archivo en la carpeta de archivo,
copiando las subcarpetas y archivos para asegurarse de que cada una herede los
permisos de la carpeta de archivo. Tenga cuidado de no sobrescribir la carpeta de
archivo.
5. Si duda de si un GPO de la copia de seguridad de archivo es más actual que la copia de
ese GPO en producción, genere un informe diferente y compare su configuración. Para
obtener más información, vea Identificación de diferencias entre GPO, versiones de GPO
o plantillas.
6. Reinicie el servicio AGPM. Para obtener más información, consulte Inicio o detención del
servicio AGPM.
Para restaurar el archivo a partir de una copia de seguridad
29
Referencias adicionales
Creación de una copia de seguridad del archivo
Movimiento del servidor de AGPM y del archivo
Administración del archivo
Administración del servicio AGPM
El servicio AGPM es un servicio de Windows que actúa como proxy de seguridad mediante la
administración del acceso de clientes a Objetos de directiva de grupo (GPO) en el archivo y en el
entorno de producción del dominio. Exige la delegación de Administración de directivas de
grupos (AGPM) y proporciona un nivel mejorado de seguridad. El servicio AGPM está alojado en
el servidor en el que está instalado Advanced Group Policy Management de Microsoft: servidor.
No modifique los ajustes del servicio AGPM de Herramientas administrativas y
Servicios en el sistema operativo. Esto podría impedir la ejecución del servicio AGPM.
Inicio o detención del servicio AGPM
Modificación del servicio AGPM
Referencias adicionales
Movimiento del servidor de AGPM y del archivo
Realización de tareas del administrador de AGPM
Inicio o detención del servicio AGPM
El servicio AGPM es un servicio de Windows que actúa como proxy de seguridad administrando
el acceso de clientes a Objetos de directiva de grupo (GPO) en el archivo y en el entorno de
producción.
La detención o deshabilitación del servicio AGPM impide que los clientes AGPM lleven a
cabo ninguna operación (como, por ejemplo, listados o edición de GPO) a través del
servidor.
Es necesaria una cuenta de usuario con acceso al servidor AGPM (el equipo en el que está
instalado el servicio AGPM) para llevar a cabo este procedimiento.
1. En el equipo en el que esté instalado Advanced Group Policy Management de Microsoft:
servidor (y, por tanto, el servicio AGPM), haga clic en Inicio, Panel de control,
Herramientas administrativas y, por último, en Servicios.
2. En la lista de servicios, haga clic con el botón secundario en Servicio AGPM y
seleccione Iniciar, Reiniciar o Detener.
Precaución
Importante
Para iniciar o detener el servicio AGPM
30
Precaución
No modifique los ajustes del servicio AGPM de Herramientas
administrativas y Servicios en el sistema operativo. Esto podría impedir la
ejecución del servicio AGPM.
Referencias adicionales
Administración del servicio AGPM
Modificación del servicio AGPM
El servicio AGPM es un servicio de Windows que actúa como proxy de seguridad mediante la
administración del acceso de clientes a Objetos de directiva de grupo (GPO) en el archivo y en el
entorno de producción del dominio. Si se detiene o deshabilita este servicio, los clientes AGPM
no podrán llevar a cabo operaciones a través del servidor. Se puede modificar la ruta de archivo,
la cuenta de servicio AGPM y el puerto de escucha del servicio AGPM.
No modifique los ajustes del servicio AGPM de Herramientas administrativas y
Servicios en el sistema operativo. Esto podría impedir la ejecución del servicio AGPM.
Se requiere una cuenta de usuario miembro del grupo Administradores de dominio y con acceso
al servidor AGPM (el equipo en el que se ha instalado Advanced Group Policy Management de
Microsoft: servidor) para llevar a cabo este procedimiento. Además, debe proporcionar
credenciales para la cuenta de servicio AGPM a fin de llevar a cabo este procedimiento.
1. En el equipo en el que esté instalado el servidor de Microsoft Advanced Group Policy
Management, haga clic en Inicio, Panel de control, Programas y, por último, en
Programas y funciones.
2. Haga clic con el botón secundario en Advanced Group Policy Management de
Microsoft: servidor y, a continuación, haga clic en Cambiar.
3. Haga clic en Siguiente y, a continuación, en Modificar.
4. Siga las instrucciones de configuración del servicio AGPM:
a. En el cuadro de diálogo Ruta de acceso del archivo, escriba la nueva ubicación del
archivo relacionada con el servidor AGPM o confirme la ruta actual. A continuación,
haga clic en Siguiente.
Importante
La ruta de acceso del archivo puede apuntar a una carpeta del servidor
AGPM o a otro lugar, pero la ubicación debe tener suficiente espacio para
almacenar todos los GPO y datos de historial administrados por este
servidor AGPM.
b. En el cuadro de diálogo Cuenta de servicio AGPM, introduzca las credenciales de
Precaución
Para modificar el servicio AGPM
31
una cuenta de servicio en función de las que se ejecutará el servicio AGPM y haga
clic en Siguiente.
Importante
La modificación de la instalación borra las credenciales de la cuenta de
servicio AGPM. Debe volver a introducir las credenciales, aunque no es
necesario que coincidan con las credenciales usadas durante la instalación
original.
La cuenta del servicio AGPM debe tener acceso completo a los GPO que
administrará y se le otorgará el permiso Iniciar sesión como servicio. Si va
a administrar GPO en un único dominio, puede hacer que la cuenta de
sistema local del controlador de dominio principal sea la Cuenta de servicio
AGPM.
Si va a administrar GPO en varios dominios o si un servidor de miembros va
a ser el servidor AGPM, debe configurar una cuenta diferente como Cuenta
de servicio AGPM, ya que la cuenta de sistema local de un controlador de
dominio no puede tener acceso a GPO de otros dominios.
c. En el cuadro de diálogo Propietario del archivo, escriba el nombre de usuario de
un Administradores de AGPM o un grupo de Administradores de AGPM, y haga clic
en Siguiente.
Nota
La modificación de la instalación borra las credenciales del propietario del
archivo. Debe volver a introducir las credenciales, aunque no es necesario
que coincidan con las credenciales usadas durante la instalación original.
d. En el cuadro de diálogo Configuración de puerto, escriba el nuevo puerto de
escucha para el servicio AGPM o confirme el puerto seleccionado actualmente. A
continuación, haga clic en Siguiente.
Notas
De forma predeterminada, el servicio AGPM realiza la escucha en el puerto
4600.
Si configura de forma manual excepciones de puerto o tiene reglas para
configurar excepciones de puerto, puede desactivar la casilla Agregar una
excepción de puerto al firewall.
5. Haga clic en Cambiar y, una vez completada la instalación, haga clic en Finalizar.
6. Si ha cambiado el puerto de escucha del servicio AGPM, modifique el puerto en la
conexión con el servidor de AGPM de cada administrador de directiva de grupo. (Para
obtener más información, vea Configuración de las conexiones con el servidor de
AGPM).
7. Repita el proceso con cada servidor AGPM en el que deban aplicarse los cambios de
configuración.
32
Referencias adicionales
Administración del servicio AGPM
Movimiento del servidor de AGPM y del archivo
Si va a reemplazar el servidor AGPM y el servidor en el que se hospeda el archivo, debe mover
el servicio AGPM y el archivo. Si lo prefiere, puede mover el servicio AGPM y el archivo de forma
independiente.
El servidor AGPM es el equipo que hospeda el servicio AGPM y el equipo en el que está
instalado el servidor de Microsoft Advanced Group Policy Management.
De forma predeterminada, el archivo se hospeda en el servidor AGPM, pero puede
especificar la ruta de acceso al archivo para hospedarlo en otro servidor en su lugar.
Para llevar a cabo este procedimiento, es necesaria una cuenta de usuario que sea miembro del
grupo de administradores de dominio y tenga acceso tanto al servidor AGPM anterior como al
nuevo. Además, debe proporcionar las credenciales de la cuenta de servicio AGPM que usará
este nuevo servidor AGPM a fin de llevar a cabo este procedimiento.
1. Realice una copia de seguridad del archivo. Para obtener más información, vea Creación
de una copia de seguridad del archivo.
2. Mueva el servicio AGPM:
a. Detenga el servicio AGPM. Para obtener más información, consulte Inicio o
detención del servicio AGPM.
b. Instale el servidor de Microsoft Advanced Group Policy Management en el nuevo
servidor que vaya a hospedar el servicio AGPM. Durante este proceso, especifica la
nueva ruta de acceso al archivo, la ubicación del mismo en relación con el servidor
AGPM. Para obtener más información, vea Guía paso a paso de Microsoft Advanced
Group Policy Management 4.0 (http://go.microsoft.com/fwlink/?LinkId=153505) y
Guía de planeamiento de Microsoft Advanced Group Policy Management
(http://go.microsoft.com/fwlink/?LinkId=156883).
c. O bien un Administrador AGPM (Control total) debe configurar la conexión del
servidor AGPM para todos los administradores de directiva de grupo que vayan a
usar el nuevo servidor AGPM y quitar la conexión para el servidor AGPM antiguo, o
bien cada administrador de directiva de grupo debe configurar manualmente la
conexión del nuevo servidor AGPM y quitar la del antiguo para el complemento
AGPM en su equipo. Para obtener más información, vea Configuración de las
conexiones con el servidor de AGPM.
Nota
Es aconsejable desinstalar el servidor de Microsoft Advanced Group Policy
Notas
Para mover el servicio AGPM y el archivo a un servidor o servidores diferentes
33
Management del servidor AGPM anterior. De esta forma se asegurará de
que el servicio AGPM no pueda reiniciarse de forma involuntaria en ese
servidor y ocasione confusión si alguna de sus conexiones permanece.
3. Copie el archivo desde la copia de seguridad al nuevo servidor que hospedará el
archivo. Para obtener más información, vea Restauración del archivo a partir de una
copia de seguridad.
Importante
Si movió el archivo sin mover el servicio AGPM al mismo tiempo:
a. Debe cambiar la ruta de acceso al archivo para que señale a la nueva ubicación del
archivo en relación con el servidor AGPM. Para obtener más información, consulte
Modificación del servicio AGPM.
b. Debe volver a escribir la contraseña y confirmarla en la ficha Delegación de
dominio. Para obtener más información, consulte Configuración de notificación por
correo electrónico.
Referencias adicionales
Creación de una copia de seguridad del archivo
Restauración del archivo a partir de una copia de seguridad
Configuración de las conexiones con el servidor de AGPM
Modificación del servicio AGPM
Guía paso a paso de Advanced Group Policy Management de Microsoft 4.0
(http://go.microsoft.com/fwlink/?LinkId=153505)
Guía de planeamiento de Microsoft Advanced Group Policy Management
(http://go.microsoft.com/fwlink/?LinkId=156883)
Realización de tareas del administrador de AGPM
Realización de tareas del editor En Administración de directivas de grupos (AGPM), un editor es la persona autorizada por un
Administrador AGPM (Control total) para realizar cambios en los Objetos de directiva de grupo
(GPO) y crear plantillas de GPO. Además, un editor puede solicitar que se cree, elimine o
restaure un GPO. Un aprobador debe aprobar la solicitud para que esta se implemente. Un editor
puede exportar un GPO a un archivo de modo que se pueda copiar en un dominio de otro
bosque e importar el GPO que se copió desde otro dominio.
Asegúrese de que se está conectando con el archivo central de GPO. Para obtener más
información, vea Configuración de una conexión con el servidor de AGPM.
Creación, control o importación de GPO
Edición de GPO
Uso de un entorno de prueba
Importante
34
Solicitud de implementación de GPO
Creación de plantillas y establecimiento como predeterminadas
Eliminación o restauración de GPO
Dado que la función Editor incluye los permisos de la función Revisor, un editor también
puede revisar la configuración y comparar GPO. Vea Realización de tareas del revisor
para obtener más información.
Consideraciones adicionales
De forma predeterminada, se le proporcionan los siguientes permisos a la función Editor:
Mostrar contenido
Leer configuración
Editar configuración
Exportar GPO
Importar GPO
Crear plantilla
Creación, control o importación de GPO
Para usar Administración de directivas de grupos (AGPM) y proporcionar control de cambios de
un Objeto de directiva de grupo (GPO), primero debe controlarlo con AGPM. Los nuevos GPO
creados mediante la carpeta Control de cambios se controlarán de forma automática. Como
editor, puede que no tenga permisos para llevar a cabo el control, la creación o la eliminación del
GPO, pero sí tiene los permisos necesarios para iniciar el proceso y enviarle la solicitud al
aprobador.
Solicitud de control de GPO sin control
Solicitud de creación de nuevos GPO controlados
Importación de GPO de producción
Solicitud de control de GPO sin control
Para proporcionarle control de cambios a un Objeto de directiva de grupo (GPO) existente, el
GPO debe estar controlado. A menos que sea aprobador o Administrador AGPM (Control total),
debe solicitar el control del GPO.
Se requiere una cuenta de usuario con la función Editor o Revisor con los permisos adecuados
en Administración de directivas de grupos (AGPM) para llevar a cabo el procedimiento. Revise
los detalles en "Consideraciones adicionales" de este tema.
Nota
Para controlar un GPO sin control
35
1. En el árbol de la Consola de administración de directivas de grupos, haga clic en
Control de cambios para el bosque y dominio en los que desea administrar los GPO.
2. En la ficha Contenido del panel de detalles, haga clic en la ficha Sin control para
mostrar los GPO sin control.
3. Haga clic con el botón secundario en el GPO que desea controlar con AGPM y, a
continuación, haga clic en Control.
4. A menos que tenga un permiso especial para controlar GPO, debe enviar una solicitud
de control. Para recibir una copia de la solicitud, escriba su dirección de correo
electrónico en el campo CC. Escriba un comentario para que aparezca en el Historial
del GPO y, a continuación, haga clic en Enviar.
5. Cuando la ventana Progreso indique que se ha completado el progreso general, haga
clic en Cerrar. El GPO se quita de la lista en la ficha Sin control y se agrega a la ficha
Pendiente. Una vez que un aprobador apruebe su solicitud, el GPO se mueve a la ficha
Controlado.
Consideraciones adicionales
De forma predeterminada, debe ser editor o revisor para poder llevar a cabo este
procedimiento. Más concretamente, debe tener los permisos Mostrar contenido y Leer
configuración en lo que respecta al dominio.
Para retirar su solicitud antes de que se apruebe, haga clic en la ficha Pendiente. Haga clic
con el botón secundario en el GPO y, a continuación, haga clic en Retirar. El GPO se
devolverá a la ficha Sin control.
Referencias adicionales
Creación, control o importación de GPO
Solicitud de creación de nuevos GPO controlados
A menos que sea aprobador o Administrador AGPM (Control total), debe solicitar la creación de
un nuevo Objeto de directiva de grupo (GPO).
Se requiere una cuenta de usuario con la función Editor o Revisor con los permisos adecuados
en Administración de directivas de grupos (AGPM) para llevar a cabo el procedimiento. Revise
los detalles en "Consideraciones adicionales" de este tema.
1. En el árbol de la Consola de administración de directivas de grupos, haga clic en
Control de cambios para el bosque y dominio en los que desea administrar los GPO.
2. Haga clic con el botón secundario en Control de cambios y, a continuación, haga clic
en Nuevo GPO controlado.
3. A menos que tenga un permiso especial para crear GPO, debe enviar una solicitud de
creación. En el cuadro de diálogo Nuevo GPO controlado:
a. Para recibir una copia de la solicitud, escriba su dirección de correo electrónico en el
Para crear un nuevo GPO con el control de cambios administrado a través de AGPM
36
campo CC.
b. Escriba un nombre para el nuevo GPO.
c. Opcional: Escriba un comentario para el nuevo GPO.
d. Para implementar inmediatamente el nuevo GPO en el entorno de producción del
dominio tras la aprobación, haga clic en Crear en vivo. Para crear el nuevo GPO sin
conexión y sin implementarlo de forma inmediata después de la aprobación, haga
clic en Crear sin conexión.
e. Seleccione la plantilla de GPO que se va a usar como punto de partida para el nuevo
GPO.
f. Haga clic en Enviar.
4. Cuando la ventana Progreso indique que se ha completado el progreso general, haga
clic en Cerrar. El nuevo GPO aparece en la lista de GPO de la ficha Pendiente. Una vez
que un aprobador apruebe su solicitud, el GPO se mueve a la ficha Controlado.
Consideraciones adicionales
De forma predeterminada, debe ser editor o revisor para poder llevar a cabo este
procedimiento. Más concretamente, debe tener el permiso Mostrar contenido en lo que
respecta al dominio.
Para retirar su solicitud antes de que se apruebe, haga clic en la ficha Pendiente. Haga clic
con el botón secundario en el GPO y, a continuación, haga clic en Retirar. Se destruirá el
GPO.
Referencias adicionales
Creación, control o importación de GPO
Importación de GPO de producción
Si se realizan cambios en un Objeto de directiva de grupo (GPO) controlado fuera de
Administración de directivas de grupos (AGPM), puede importar una copia del GPO desde el
entorno de producción del dominio y guardarla en el archivo para conseguir que el estado del
archivo y del entorno de producción sea coherente. (Para importar un GPO sin control, controle
el GPO. Vea Solicitud de control de GPO sin control).
Para completar este procedimiento, se necesita una cuenta de usuario en AGPM con la función
de Editor, Aprobador o Administrador de AGPM (Control total). Revise los detalles en
"Consideraciones adicionales" de este tema.
1. En el árbol de la Consola de administración de directivas de grupos, haga clic en
Control de cambios para el bosque y dominio en los que desea administrar los GPO.
2. En la ficha Contenidos, haga clic en Controlado para mostrar los GPO controlados.
3. Haga clic con el botón secundario en el GPO y, a continuación, haga clic en Importar
desde Producción.
Para importar un GPO desde el entorno de producción del dominio
37
4. Escriba un comentario para la traza de auditoría del GPO y, a continuación, haga clic en
Aceptar.
Consideraciones adicionales
De forma predeterminada, debe ser un Editor, un aprobador o un Administrador AGPM
(Control total) para poder llevar a cabo este procedimiento. Más concretamente, debe tener
los permisos Mostrar contenido y Editar configuración, Implementar GPO o Eliminar
GPO en lo que respecta al GPO.
Referencias adicionales
Creación, control o importación de GPO
Edición de GPO
Se debe controlar un Objeto de directiva de grupo (GPO) mediante Administración de directivas
de grupos (AGPM) antes de editarlo. Vea Creación, control o importación de GPO para obtener
más información sobre el control de GPO.
Para realizar cambios en un GPO sin conexión sin crear un impacto inmediato en la copia
implementada del GPO en el entorno de producción, desproteja una copia del GPO del archivo.
Cuando se hayan completado los cambios, vuelva a proteger el GPO en el archivo, pruébelo y
solicite la implementación del GPO en el entorno de producción.
Edición de GPO sin conexión
Etiquetado de la versión actual de GPO
Cambio de nombre de GPO o plantillas
Edición de GPO sin conexión
Para realizar cambios en un Objeto de directiva de grupo (GPO) controlado, primero desproteja
una copia del GPO del archivo. Nadie podrá modificar el GPO hasta que no se vuelva a proteger,
lo que impide que se introduzcan cambios conflictivos por parte de varios administradores de
directivas de grupo. Cuando haya terminado de modificar el GPO, protéjalo en el archivo para
que se pueda revisar e implementar en el entorno de producción.
Se requiere una cuenta de usuario con la función Editor o Administrador AGPM (Control total), la
cuenta de usuario del aprobador que creó el GPO o una cuenta de usuario con los permisos
necesarios en Administración de directivas de grupos (AGPM) a fin de llevar a cabo el
procedimiento. Revise los detalles en "Consideraciones adicionales" de este tema.
Edición de GPO sin conexión
Para editar un GPO, desproteja el GPO del archivo, edítelo sin conexión y, a continuación,
protéjalo en el archivo para que se pueda revisar e implementar (o modificar por parte de otros
editores).
Desprotección de GPO del archivo para editarlos
Edición de GPO sin conexión
38
Protección de GPO en el archivo
1. En el árbol de la Consola de administración de directivas de grupos, haga clic en
Control de cambios para el bosque y dominio en los que desea administrar los GPO.
2. En la ficha Contenidos, haga clic en Controlado para mostrar los GPO controlados.
3. Haga clic con el botón secundario en el GPO que desea editar y, a continuación, haga
clic en Desproteger.
4. Escriba un comentario para que aparezca en el historial del GPO mientras está
desprotegido y, a continuación, haga clic en Aceptar.
5. Cuando la ventana Progreso indica que el progreso general se ha completado, haga clic
en Cerrar. En la ficha Controlado, el estado del GPO se identifica ahora como
Desprotegido.
1. En la ficha Controlado, haga clic con el botón secundario en el GPO que desea editar y,
a continuación, haga clic en Editar.
2. En la ventana Editor de administración de directivas de grupo, realice cambios en la
copia sin conexión del GPO.
Nota
Para deshabilitar toda la configuración de Configuración del equipo o toda la
configuración de Configuración de usuario, haga clic con el botón secundario
en el GPO en la ventana Editor de administración de directivas de grupo
y haga clic en Propiedades. Seleccione Deshabilitar los parámetros de
configuración del equipo o en Deshabilitar los parámetros de
configuración de usuario, según corresponda.
3. Cuando haya terminado de modificar el GPO, cierre la ventana Editor de
administración de directivas de grupo.
1. En la ficha Controlado:
Si no ha realizado cambios en el GPO, haga clic con el botón secundario en él y
haga clic en Deshacer desproteger y, a continuación, en Sí para confirmar.
Si ha realizado cambios en el GPO, haga clic con el botón secundario en él y haga
clic en Proteger.
2. Escriba un comentario para que aparezca en la traza de auditoría del GPO y, a
continuación, haga clic en Aceptar.
3. Cuando la ventana Progreso indique que se ha completado el progreso general, haga
clic en Cerrar. En la ficha Controlado, el estado del GPO se identifica como Protegido.
Para desproteger GPO del archivo para editarlos
Para editar GPO sin conexión
Para proteger GPO en el archivo
39
Consideraciones adicionales
Para desproteger y editar un GPO, de forma predeterminada debe ser el aprobador que ha
creado o controlado el GPO, editor o Administrador AGPM (Control total). Más
concretamente, debe tener los permisos Mostrar contenido y Editar configuración en lo
que respecta al GPO. Asimismo, para editar el GPO debe ser el individuo que lo ha
desprotegido.
Para proteger un GPO, de forma predeterminada, debe ser editor, aprobador o
Administrador AGPM (Control total). Más concretamente, debe tener los permisos Mostrar
contenido y Editar configuración o Implementar GPO en lo que respecta al GPO. Si no es
aprobador o administrador de AGPM (u otro administrador de directiva de grupo con permiso
Implementar GPO), debe ser el editor que ha desprotegido el GPO.
Al editar un GPO, las actualizaciones de instalación de software de directivas de grupo de un
paquete en otro GPO deben hacer referencia al GPO implementado y no a la copia
desprotegida.
Referencias adicionales
Edición de GPO
Revisión de GPO
Revisión de la configuración de GPO
Revisión de enlaces de GPO
Identificación de diferencias entre GPO, versiones de GPO o plantillas
Implementación de GPO
Solicitud de implementación de GPO
Implementación de GPO
Etiquetado de la versión actual de GPO
Es posible etiquetar la versión actual de un Objeto de directiva de grupo (GPO) para una fácil
identificación en su historial. Puede utilizar una etiqueta para identificar una versión correcta
conocida que se pueda utilizar como base para deshacer los cambios si se produce un
problema. Además, al etiquetar varios GPO con la misma etiqueta a la vez, se pueden marcar
los GPO relacionados que, de ser necesario deshacer los cambios, se deberían revertir al mismo
punto.
Para completar este procedimiento, se necesita una cuenta de usuario en Administración
avanzada de directivas de grupos (AGPM) con la función de Editor, Aprobador o Administrador
de AGPM (Control total), o con los permisos correspondientes. Revise los detalles en
"Consideraciones adicionales" de este tema.
1. En el árbol de la Consola de administración de directivas de grupos, haga clic en
Control de cambios para el bosque y dominio en los que desea administrar los GPO.
Para etiquetar la versión actual de GPO en sus historiales
40
2. En la ficha Contenidos, haga clic en Controlado para mostrar los GPO controlados.
3. Haga clic en un GPO cuya versión actual desea etiquetar. Para seleccionar varios a la
vez, pulse MAYÚS y haga clic en el último GPO de un grupo contiguo de GPO o pulse
CTRL y vaya haciendo clic en cada GPO. Haga clic con el botón secundario en el GPO
y, a continuación, haga clic en Etiquetar.
4. Escriba una etiqueta y un comentario para que aparezcan en el historial de cada GPO
seleccionado y, a continuación, haga clic en Aceptar.
5. Cuando la ventana Progreso indique que se ha completado el progreso general, haga
clic en Cerrar.
Consideraciones adicionales
De forma predeterminada, para realizar este procedimiento debe ser un Editor, Aprobador o
Administrador de AGPM (Control total). Más concretamente, debe tener los permisos
Mostrar contenido y Editar configuración o Implementar GPO en lo que respecta al
GPO.
Referencias adicionales
Edición de GPO
Cambio de nombre de GPO o plantillas
Se le puede cambiar el nombre a una plantilla o a un Objeto de directiva de grupo (GPO)
controlado.
Se requiere una cuenta de usuario con la función Editor o Administrador AGPM (Control total), la
cuenta de usuario del aprobador que creó el GPO o una cuenta de usuario con los permisos
necesarios en Administración de directivas de grupos (AGPM) a fin de llevar a cabo el
procedimiento. Revise los detalles en "Consideraciones adicionales" de este tema.
1. En el árbol de la Consola de administración de directivas de grupos, haga clic en
Control de cambios para el bosque y dominio en los que desea administrar los GPO.
2. En la ficha Contenido, haga clic en la ficha Controlado o Plantillas para mostrar el
elemento cuyo nombre desea cambiar.
3. Haga clic con el botón secundario en el GPO o en la plantilla cuyo nombre desea
cambiar y haga clic en Cambiar nombre.
4. Escriba un nombre nuevo para la plantilla o el GPO y un comentario y, a continuación,
haga clic en Aceptar.
5. Cuando la ventana Progreso indique que se ha completado el progreso general, haga
clic en Cerrar. El GPO o la plantilla aparecen con el nombre nuevo en la ficha
Contenido.
Consideraciones adicionales
Para cambiarle el nombre a un GPO o a una plantilla
41
De forma predeterminada, debe ser el aprobador que ha creado o controlado el GPO, un
editor o un Administrador AGPM (Control total) para poder llevar a cabo este procedimiento.
Más concretamente, debe tener los permisos Mostrar contenido y Editar configuración en
lo que respecta al GPO.
Al cambiar el nombre de un GPO ya implementado, el nombre se cambia de forma inmediata
en el archivo. El nombre se cambia en el entorno de producción sólo cuando se vuelve a
implementar el GPO. Hasta la nueva implementación del GPO (o hasta que se elimine la
copia de producción), se sigue usando el nombre antiguo en el entorno de producción y por
tanto no se puede usar para otro GPO. Del mismo modo, no se puede volver a cambiar el
nombre del GPO del archivo a su nombre original hasta que se haya implementado
(mediante el cambio del nombre de la copia de producción) o hasta que se haya eliminado la
copia de producción.
Referencias adicionales
Edición de GPO
Uso de un entorno de prueba
Antes de solicitar que un Objeto de directiva de grupo (GPO) se implemente en el entorno de
producción, debe probarlo en un entorno de prueba. Si desarrolla el GPO en un dominio de un
bosque de prueba, puede exportarlo a un archivo e importar el archivo a un dominio del bosque
de producción. Entonces, puede probar el GPO vinculándolo a una unidad organizativa (OU) que
contenga equipos y usuarios de prueba.
Exportación de un GPO a un archivo
Importación de GPO desde un archivo
Prueba de un GPO en una unidad organizativa independiente
También puede importar un GPO desde el entorno de producción del dominio. Para
obtener más información, vea Importación de GPO de producción.
Exportación de un GPO a un archivo
Puede exportar un Objeto de directiva de grupo (GPO) controlado a un archivo CAB de modo
que pueda copiarlo a un dominio de otro bosque e importar el GPO en Administración de
directivas de grupos (AGPM) en ese dominio. Para obtener información acerca de cómo importar
la configuración de GPO en un GPO nuevo o existente, vea Importación de GPO desde un
archivo.
Para completar este procedimiento, se necesita una cuenta de usuario en Administración
avanzada de directivas de grupos (AGPM) con la función de Editor o Administrador de AGPM
(Control total), o con los permisos correspondientes. Revise los detalles en "Consideraciones
adicionales" de este tema.
Nota
Para exportar un GPO a un archivo
42
1. En el árbol de la Consola de administración de directivas de grupos, haga clic en
Control de cambios para el bosque y dominio en los que desea administrar los GPO.
2. En la ficha Contenidos, haga clic en Controlado para mostrar los GPO controlados.
3. Haga clic con el botón secundario en el GPO y, a continuación, haga clic en Exportar a.
4. Escriba un nombre para el archivo en el que desee exportar el GPO y haga clic en
Exportar. Si el archivo no existe, se crea. Si ya existe, se reemplaza.
Consideraciones adicionales
De forma predeterminada, para realizar este procedimiento debe ser un Editor o
Administrador de AGPM (Control total). Más concretamente, debe tener los permisos
Mostrar contenido, Leer configuración y Exportar GPO para el GPO.
Referencias adicionales
Uso de un entorno de prueba
Importación de GPO desde un archivo
En Administración de directivas de grupos (AGPM), si ha exportado un Objeto de directiva de
grupo (GPO) a un archivo CAB, puede importar la configuración de directiva de ese GPO en un
GPO existente de un dominio de otro bosque. Al importar la configuración de directiva en un
GPO existente, se reemplaza toda la configuración de directiva dentro de ese GPO. Para obtener
información acerca de cómo exportar la configuración de GPO a un archivo CAB, vea
Exportación de un GPO a un archivo.
Para completar este procedimiento, se necesita una cuenta de usuario en Administración
avanzada de directivas de grupos (AGPM) con la función de Editor o Administrador de AGPM
(Control total), o con los permisos correspondientes. Revise los detalles en "Consideraciones
adicionales" de este tema.
1. En el árbol Consola de administración de directiva de grupo, haga clic en Cambiar
control en el dominio en el que desea importar la configuración de directiva.
2. En la ficha Contenidos, haga clic en Controlado para mostrar los GPO controlados.
3. Desproteja el GPO de destino en el que desee importar la configuración de directiva.
4. Haga clic con el botón secundario en el GPO de destino, seleccione Importar desde y
haga clic en Archivo.
5. Siga las instrucciones del Asistente para importar configuración con el fin de
seleccionar una copia de seguridad de GPO, importe su configuración de directiva para
reemplazarla en el GPO de destino y escriba un comentario para la traza de auditoría del
GPO de destino. De forma predeterminada, el GPO de destino se protege una vez que
finaliza el asistente.
Consideraciones adicionales
Para importar la configuración de directiva en un GPO existente
43
De forma predeterminada, para realizar este procedimiento debe ser un Editor o
Administrador de AGPM (Control total). Más concretamente, debe tener los permisos
Mostrar contenido, Editar configuración e Importar GPO para el dominio y debe
desproteger el GPO.
Aunque un editor no puede importar la configuración de directiva en un nuevo GPO durante
su creación, puede solicitar su creación e importar entonces la configuración de directiva en
él una vez creado.
Referencias adicionales
Uso de un entorno de prueba
Prueba de un GPO en una unidad organizativa independiente
Si utiliza una unidad organizativa (OU) de prueba para probar Objetos de directiva de grupo
(GPO) dentro del mismo dominio antes de implementarlos en el entorno de producción, deberá
tener los permisos necesarios para obtener acceso a la unidad organizativa de prueba. El uso de
una unidad organizativa de prueba es opcional.
1. Aunque tenga el GPO desprotegido para editarlo, en la Consola de administración de
directiva de grupo, haga clic en Objetos de Directiva de Grupo en el bosque y en el
dominio en los que está administrando los GPO.
2. Haga clic en la copia desprotegida del GPO que se va a probar. El nombre aparecerá
precedido de [AGPM]. (Si aún no está incluido, haga clic en Acción y, a continuación,
en Actualizar. Ordene los nombres por orden alfabético y los GPO [AGPM] aparecerán,
por lo general, en la parte superior de la lista).
3. Arrastre el GPO a la unidad organizativa de prueba.
4. Haga clic en Aceptar en el cuadro de diálogo en el que se le pregunta si desea crear un
vínculo al GPO en la unidad organizativa de prueba.
Consideraciones adicionales
Cuando la prueba se ha completado, la protección del GPO elimina de forma automática el
enlace a la copia desprotegida del GPO.
Referencias adicionales
Uso de un entorno de prueba
Solicitud de implementación de GPO
Una vez modificado y protegido un Objeto de directiva de grupo (GPO), impleméntelo, con lo que
entrará en vigor en el entorno de producción.
Se requiere una cuenta de usuario con la función Editor o con los permisos adecuados en
Administración de directivas de grupos (AGPM) para llevar a cabo el procedimiento. Revise los
detalles en "Consideraciones adicionales" de este tema.
Para utilizar una unidad organizativa de prueba
44
1. En el árbol de la Consola de administración de directivas de grupos, haga clic en
Control de cambios para el bosque y dominio en los que desea administrar los GPO.
2. En la ficha Contenidos, haga clic en Controlado para mostrar los GPO controlados.
3. Haga clic con el botón secundario en el GPO que desea implementar y, a continuación,
haga clic en Implementar.
4. A menos que sea aprobador o administrador de AGPM o tenga permisos especiales
para implementar GPO, debe enviar una solicitud de implementación. Para recibir una
copia de la solicitud, escriba su dirección de correo electrónico en el campo CC. Escriba
un comentario para que aparezca en el Historial del GPO y, a continuación, haga clic en
Enviar.
5. Cuando la ventana Progreso indique que se ha completado el progreso general, haga
clic en Cerrar. El GPO aparece en la lista de GPO de la ficha Pendiente. Una vez el
aprobador apruebe su solicitud, el GPO se desplaza desde la ficha Pendiente a la ficha
Controlado y se implementa.
Consideraciones adicionales
De forma predeterminada, debe ser editor para poder llevar a cabo este procedimiento. Más
concretamente, debe tener los permisos Mostrar contenido y Editar configuración en lo
que respecta al GPO.
Para retirar su solicitud antes de que se apruebe, haga clic en la ficha Pendiente. Haga clic
con el botón secundario en el GPO y, a continuación, haga clic en Retirar. El GPO se
devolverá a la ficha Controlado.
Referencias adicionales
Realización de tareas del editor
Creación de plantillas y establecimiento como predeterminadas
La creación de una plantilla le permite guardar la configuración de una versión determinada de
un Objeto de directiva de grupo (GPO) para utilizarla como punto de partida para la creación de
nuevos GPO. Como editor, también puede especificar cuál de las plantillas disponibles será la
plantilla predeterminada para todos los administradores de directiva de grupo que creen nuevos
GPO.
Los siguientes son algunos usos posibles de una plantilla:
Creación de una línea base de seguridad que la organización pueda reutilizar a través de los
dominios.
Creación de una plantilla para administrar la redirección de carpetas y archivos sin conexión
que la organización pueda personalizar para cada departamento.
Creación de una plantilla de red inalámbrica que la organización pueda usar para configurar
las conexiones de red inalámbrica de diferentes áreas geográficas.
Para solicitar la implementación de un GPO en el entorno de producción del dominio
45
Creación de plantillas de cumplimiento de legislación para los administradores de redes
locales.
Creación de una instantánea de solo lectura de un GPO existente.
Una plantilla es una versión estática de un GPO que no puede modificarse, aunque
puede usarse como punto de partida en la creación de nuevos GPO editables. Si se
cambia el nombre de una plantilla o se elimina, no se afecta a los GPO creados a partir
de dicha plantilla.
Creación de plantillas
Establecimiento de plantillas predeterminadas
Creación de plantillas
La creación de una plantilla le permite guardar la configuración de una versión determinada de
un Objeto de directiva de grupo (GPO) para utilizarla como punto de partida para la creación de
nuevos GPO.
Una plantilla es una versión estática y no editable de un GPO para usarse como punto
de partida en la creación de nuevos GPO editables.
Para completar este procedimiento, se necesita una cuenta de usuario en Administración
avanzada de directivas de grupos (AGPM) con la función de Editor o Administrador de AGPM
(Control total), o con los permisos correspondientes. Revise los detalles en "Consideraciones
adicionales" de este tema.
1. En el árbol de la Consola de administración de directivas de grupos, haga clic en
Control de cambios para el bosque y dominio en los que desea administrar los GPO.
2. En la ficha Contenido del panel de detalles, haga clic en la ficha Controlado o Sin
control para mostrar los GPO disponibles.
3. Haga clic con el botón secundario en el GPO a partir del que desea crear un plantilla y, a
continuación, haga clic en Guardar como plantilla.
4. Escriba un nombre para la plantilla y un comentario y, a continuación, haga clic en
Aceptar.
5. Cuando la ventana Progreso indique que se ha completado el progreso general, haga
clic en Cerrar. La nueva plantilla aparece en la ficha Plantillas.
Consideraciones adicionales
De forma predeterminada, debe ser editor o Administrador AGPM (Control total) para poder
llevar a cabo este procedimiento. Más concretamente, debe tener los permisos Mostrar
contenido y Crear plantilla en lo que respecta al dominio.
Nota
Nota
Para crear plantillas en función de GPO existentes
46
Si se cambia el nombre de una plantilla o se elimina, no se afecta a los GPO creados a partir
de dicha plantilla.
Dado que no se pueden modificar, las plantillas no tienen historial.
Referencias adicionales
Creación de plantillas y establecimiento como predeterminadas
Solicitud de creación de nuevos GPO controlados
Establecimiento de plantillas predeterminadas
Como editor, puede especificar cuál de las plantillas disponibles será la plantilla predeterminada
sugerida para todos los administradores de directiva de grupo que creen nuevos Objetos de
directiva de grupo (GPO).
Un plantilla es una versión estática y no editable de un GPO para su uso como punto de
partida para la creación de nuevos GPO editables.
Para completar este procedimiento, se necesita una cuenta de usuario en Administración
avanzada de directivas de grupos (AGPM) con la función de Editor o Administrador de AGPM
(Control total), o con los permisos correspondientes. Revise los detalles en "Consideraciones
adicionales" de este tema.
1. En el árbol de la Consola de administración de directivas de grupos, haga clic en
Control de cambios para el bosque y dominio en los que desea administrar los GPO.
2. En la ficha Contenido del panel de detalles, haga clic en la ficha Plantillas para mostrar
las plantillas disponibles.
3. Haga clic con el botón secundario en la plantilla que desee establecer como
predeterminada y, a continuación, haga clic en Establecer como predeterminado.
4. Haga clic en Sí para confirmar.
5. Cuando la ventana Progreso indique que se ha completado el progreso general, haga
clic en Cerrar. La plantilla predeterminada tiene un icono azul y el estado se identifica
como Plantillas (predeterminadas) en la ficha Plantillas.
Consideraciones adicionales
De forma predeterminada, debe ser editor o Administrador AGPM (Control total) para poder
llevar a cabo este procedimiento. Más concretamente, debe tener los permisos Mostrar
contenido y Crear plantilla en lo que respecta al dominio.
Una vez establecida la plantilla como predeterminada, será la seleccionada inicialmente en
el cuadro de diálogo Nuevo GPO controlado cuando los administradores de directiva de
grupo creen nuevos GPO. Sin embargo, tendrán la opción de seleccionar cualquier otra
plantilla de GPO, como un <GPO vacío>, que no incluye configuración alguna.
Nota
Para establecer una plantilla predeterminada para su uso en la creación de nuevos GPO
47
Cambiar el nombre de una plantilla o eliminarla no afecta a los GPO creados a partir de
dicha plantilla.
Dado que no se pueden modificar, las plantillas no tienen historial.
Referencias adicionales
Creación de plantillas y establecimiento como predeterminadas
Solicitud de creación de nuevos GPO controlados
Eliminación o restauración de GPO
Para usar Administración de directivas de grupos (AGPM) con el fin de eliminar un Objeto de
directiva de grupo (GPO) del archivo o restaurar un GPO eliminado desde la Papelera de
reciclaje, el GPO debe estar controlado por AGPM. Como editor, puede que no tenga permisos
para llevar a cabo la eliminación o restauración del GPO, pero sí tiene los permisos necesarios
para iniciar el proceso y enviarle la solicitud al aprobador.
Solicitud de eliminación de GPO
Solicitud de restauración de GPO eliminados
Solicitud de eliminación de GPO
A menos que sea aprobador o Administrador AGPM (Control total), debe solicitar la eliminación
de un Objeto de directiva de grupo (GPO).
Se requiere una cuenta de usuario con la función Editor o con los permisos adecuados en
Administración de directivas de grupos (AGPM) para llevar a cabo el procedimiento. Revise los
detalles en "Consideraciones adicionales" de este tema.
1. En el árbol de la Consola de administración de directivas de grupos, haga clic en
Control de cambios para el bosque y dominio en los que desea administrar los GPO.
2. En la ficha Contenidos, haga clic en Controlado para mostrar los GPO controlados.
3. Haga clic con el botón secundario en el GPO que desea eliminar y, a continuación, haga
clic en Eliminar.
Para eliminar el GPO del archivo a la vez que no modifica la versión implementada
del GPO en el entorno de producción, haga clic en Suprimir GPO sólo del archivo.
Para eliminar el GPO tanto del archivo como del entorno de producción del dominio,
haga clic en Suprimir GPO del archivo y producción.
4. A menos que tenga un permiso especial para eliminar GPO, debe enviar una solicitud
para eliminar los GPO implementados. Para recibir una copia de la solicitud, escriba su
dirección de correo electrónico en el campo CC. Escriba un comentario para que
aparezca en la traza de auditoría del GPO y, a continuación, haga clic en Enviar.
5. Cuando la ventana Progreso indique que se ha completado el progreso general, haga
clic en Cerrar. El GPO aparece en la lista de GPO de la ficha Pendiente. Una vez el
Para solicitar la eliminación de GPO controlados
48
aprobador apruebe su solicitud, el GPO se desplaza desde la ficha Pendiente a la ficha
Papelera de reciclaje, en la que se puede restaurar o destruir.
Consideraciones adicionales
De forma predeterminada, debe ser editor para poder llevar a cabo este procedimiento. Más
concretamente, debe tener los permisos Mostrar contenido y Editar configuración en lo
que respecta al GPO.
Para retirar su solicitud antes de que se apruebe, haga clic en la ficha Pendiente. Haga clic
con el botón secundario en el GPO y, a continuación, haga clic en Retirar. El GPO se
devolverá a la ficha Controlado.
Para eliminar un GPO sin control del entorno de producción sin controlarlo primero, en la
Consola de administración de directiva de grupo, haga clic en Bosque, en Dominios, en
<MiDominio> y, a continuación, en Objetos de Directiva de Grupo. Haga clic con el botón
secundario en el GPO sin control y, a continuación, haga clic en Eliminar.
Referencias adicionales
Eliminación o restauración de GPO
Solicitud de restauración de GPO eliminados
A menos que sea aprobador o Administrador AGPM (Control total), debe solicitar la restauración
de un Objeto de directiva de grupo (GPO) eliminado de la Papelera de reciclaje para devolverlo
al archivo.
Para llevar a cabo el procedimiento, se requiere una cuenta de usuario con la función Editor o
con los permisos adecuados en Administración de directivas de grupos (AGPM). Revise los
detalles en "Consideraciones adicionales" de este tema.
1. En el árbol de la Consola de administración de directivas de grupos, haga clic en
Control de cambios para el bosque y dominio en los que desea administrar los GPO.
2. En la ficha Contenido, haga clic en la ficha Papelera de reciclaje para mostrar los GPO
eliminados.
3. Haga clic con el botón secundario en el GPO que desea restaurar y, a continuación,
haga clic en Restaurar.
4. A menos que tenga un permiso especial para restaurar GPO, debe enviar una solicitud
para restaurar los GPO eliminados. Para recibir una copia de la solicitud, escriba su
dirección de correo electrónico en el campo CC. Escriba un comentario para que
aparezca en la traza de auditoría del GPO y, a continuación, haga clic en Enviar.
5. Cuando la ventana Progreso indique que se ha completado el progreso general, haga
clic en Cerrar. El GPO se quita de la ficha Papelera de reciclaje y aparece en la ficha
Controlado.
Nota
Para solicitar la restauración de GPO eliminados
49
Si se ha eliminado un GPO del entorno de producción, el hecho de restaurarlo en el
archivo no lo volverá a implementar de forma automática en el entorno de
producción. Para devolver el GPO al entorno de producción, impleméntelo. Para
obtener más información, vea Solicitud de implementación de GPO.
Consideraciones adicionales
De forma predeterminada, debe ser editor para poder llevar a cabo este procedimiento. Más
concretamente, debe tener los permisos Mostrar contenido y Editar configuración en lo
que respecta al GPO.
Para retirar su solicitud antes de que se apruebe, haga clic en la ficha Pendiente. Haga clic
con el botón secundario en el GPO y, a continuación, haga clic en Retirar. El GPO se
devolverá a la ficha Papelera de reciclaje.
Referencias adicionales
Eliminación o restauración de GPO
Realización de tareas del aprobador Un aprobador es una persona que ha sido autorizada por parte de un Administrador AGPM
(Control total) para crear, implementar y eliminar Objetos de directiva de grupo (GPO) y para
aprobar o rechazar solicitudes (normalmente de editores) para crear, implementar o eliminar
GPO.
Asegúrese de que se está conectando con el archivo central de GPO. Para obtener más
información, vea Configuración de una conexión con el servidor de AGPM.
Aprobación o rechazo de acciones pendientes
Creación o control de GPO
Protección de GPO
Implementación de GPO
Reversión a una versión anterior de GPO
Eliminación, restauración o destrucción de GPO
Antes de aprobar un GPO, un aprobador debe revisar la configuración de directiva que
contiene. Dado que la función Aprobador incluye los permisos de la función Revisor, un
aprobador también puede revisar la configuración de directiva y comparar GPO. Vea
Realización de tareas del revisor para obtener más información.
Consideraciones adicionales
De forma predeterminada, se le proporcionan los siguientes permisos a la función Aprobador:
Mostrar contenido
Importante
Nota
50
Leer configuración
Crear GPO
Implementar GPO
Eliminar GPO
Asimismo, un aprobador tiene control total sobre los GPO que ha creado o controlado.
Aprobación o rechazo de acciones pendientes
La responsabilidad principal de un aprobador es evaluar y aprobar o rechazar las solicitudes de
creación, implementación y eliminación de Objeto de directiva de grupo (GPO) de los editores o
revisores que no tienen permiso para llevar a cabo dichas acciones. Los informes pueden ayudar
a un aprobador a la hora de evaluar una nueva versión de un GPO.
Para completar este procedimiento, se necesita una cuenta de usuario en Administración
avanzada de directivas de grupos (AGPM) con la función de Aprobador o Administrador de
AGPM (Control total), o con los permisos correspondientes. Revise los detalles en
"Consideraciones adicionales" de este tema.
1. En el árbol de la Consola de administración de directivas de grupos, haga clic en
Control de cambios para el bosque y dominio en los que desea administrar los GPO.
2. En la ficha Contenido, haga clic en la ficha Pendiente para mostrar los GPO
pendientes.
3. Haga clic con el botón secundario en un GPO pendiente y, a continuación, haga clic en
Aprobar o Rechazar.
4. Si se aprueba la implementación, haga clic en Opciones avanzadas en el cuadro de
diálogo Aprobar operación pendiente para revisar los vínculos del GPO. Detenga el
puntero del mouse en un elemento del árbol para mostrar sus detalles.
De forma predeterminada, se restaurarán todos los enlaces del GPO.
Para impedir la restauración de un enlace, desactive la casilla de dicho enlace.
Para impedir la restauración de todos los enlaces, desactive la casilla Restaurar
enlaces del cuadro de diálogo Implementar GPO.
5. Haga clic en Sí o en Aceptar para confirmar la aprobación o el rechazo de la acción
pendiente. Si ha aprobado la solicitud, el GPO se desplaza a la ficha adecuada para la
acción realizada.
Nota
Si la dirección de correo electrónico de un aprobador se incluye en el campo
A dirección de correo electrónico de la ficha Delegación de dominio, el
aprobador recibirá un mensaje de correo del alias de AGPM cuando un
editor o un revisor envíen un solicitud.
Para aprobar o rechazar una solicitud pendiente
51
Consideraciones adicionales
De forma predeterminada, para realizar este procedimiento debe ser un Aprobador o
Administrador de AGPM (Control total). Más concretamente, debe tener los permisos
necesarios para llevar a cabo la solicitud que está aprobando.
Referencias adicionales
Realización de tareas del aprobador
Creación o control de GPO
Para usar Administración de directivas de grupos (AGPM) y permitir el control de cambios para
un Objeto de directiva de grupo (GPO), primero debe controlarlo con AGPM. Los nuevos GPO
creados mediante la carpeta Control de cambios se controlarán de forma automática.
Control de GPO sin control
Creación de nuevos GPO controlados
Delegación de la administración de GPO controlados
Importación de GPO de producción
Control de GPO sin control
Para permitir el control de cambios de un Objeto de directiva de grupo (GPO), primero debe
controlarlo.
Para completar este procedimiento, se necesita una cuenta de usuario en Administración
avanzada de directivas de grupos (AGPM) con la función de Aprobador o Administrador de
AGPM (Control total), o con los permisos correspondientes. Revise los detalles en
"Consideraciones adicionales" de este tema.
1. En el árbol de la Consola de administración de directivas de grupos, haga clic en
Control de cambios para el bosque y dominio en los que desea administrar los GPO.
2. En la ficha Contenido del panel de detalles, haga clic en la ficha Sin control para
mostrar los GPO sin control.
3. Haga clic con el botón secundario en el GPO que desea controlar con AGPM y, a
continuación, haga clic en Control.
4. Escriba un comentario para que aparezca en el historial del GPO y, a continuación, haga
clic en Aceptar.
5. Cuando la ventana Progreso indique que se ha completado el progreso general, haga
clic en Cerrar. El GPO se quita de la lista en la ficha Sin control y se agrega a la ficha
Controlado.
Consideraciones adicionales
Para controlar un GPO sin control
52
De forma predeterminada, para realizar este procedimiento debe ser un Aprobador o
Administrador de AGPM (Control total). Más concretamente, debe tener los permisos
Mostrar contenido y Crear GPO en lo que respecta al dominio.
Referencias adicionales
Creación o control de GPO
Creación de nuevos GPO controlados
Los nuevos Objetos de directiva de grupo (GPO) creados a través de la carpeta Control de
cambios se controlarán de forma automática, lo que le permitirá administrarlos.
Para completar este procedimiento, se necesita una cuenta de usuario en Administración
avanzada de directivas de grupos (AGPM) con la función de Aprobador o Administrador de
AGPM (Control total), o con los permisos correspondientes. Revise los detalles en
"Consideraciones adicionales" de este tema.
1. En el árbol de la Consola de administración de directivas de grupos, haga clic en
Control de cambios para el bosque y dominio en los que desea administrar los GPO.
2. Haga clic con el botón secundario en Cambiar control y, a continuación, haga clic en
Nuevo GPO controlado.
3. En el cuadro de diálogo Nuevo GPO controlado:
a. Escriba un nombre para el nuevo GPO.
b. Opcional: Escriba un comentario para el nuevo GPO de modo que aparezca en el
Historial del GPO.
c. Para implementar inmediatamente el nuevo GPO en el entorno de producción del
dominio, haga clic en Crear en vivo. Para crear el nuevo GPO sin conexión y sin
implementarlo de forma inmediata, haga clic en Crear sin conexión.
d. Seleccione la plantilla de GPO que se va a usar como punto de partida para el nuevo
GPO y haga clic en Aceptar.
4. Cuando la ventana Progreso indique que se ha completado el progreso general, haga
clic en Cerrar. El nuevo GPO aparece en la lista de GPO de la ficha Controlado.
Consideraciones adicionales
De forma predeterminada, para realizar este procedimiento debe ser un Aprobador o
Administrador de AGPM (Control total). Más concretamente, debe tener los permisos
Mostrar contenido y Crear GPO en lo que respecta al dominio.
Referencias adicionales
Creación o control de GPO
Para crear un nuevo GPO con el control de cambios administrado a través de AGPM
53
Delegación de la administración de GPO controlados
Un aprobador puede delegar la administración de un Objeto de directiva de grupo (GPO)
controlado creado por un aprobador. Al igual que un Administrador AGPM (Control total), el
aprobador puede delegar el acceso a dicho GPO de forma que los editores seleccionados
puedan editarlo, los revisores revisarlo y otros aprobadores aprobarlo. De forma predeterminada,
el aprobador no puede delegar acceso a los GPO creados por otro administrador de directiva de
grupo.
Se requiere una cuenta de usuario con la función Administrador AGPM (Control total), la cuenta
de usuario del aprobador que ha creado el GPO o una cuenta de usuario con los permisos
necesarios en Administración de directivas de grupos (AGPM) a fin de llevar a cabo el
procedimiento. Revise los detalles en "Consideraciones adicionales" de este tema.
1. En el árbol de la Consola de administración de directivas de grupos, haga clic en
Control de cambios para el bosque y dominio en los que desea administrar los GPO.
2. En la ficha Contenido del panel de detalles, haga clic en la ficha Controlado para
mostrar los GPO controlados y, a continuación, haga clic en el GPO para delegar:
a. Para agregar acceso de un usuario o un grupo, haga clic en el botón Agregar,
seleccione el usuario o el grupo, y haga clic en Aceptar. En el cuadro de diálogo
Agregar grupo o usuario, seleccione una función y haga clic en Aceptar.
b. Para quitar el acceso de un usuario o un grupo, selecciónelo y haga clic en el botón
Quitar.
Nota
Si un usuario o un grupo hereda acceso a todo el dominio, el botón
Quitar no aparece disponible. Es posible modificar el acceso a todo el
dominio en la ficha Delegación de dominio.
c. Para modificar las funciones y los permisos delegados a un usuario o grupo, haga
clic en el botón Opciones avanzadas. En el cuadro de diálogo Permisos,
seleccione el usuario o grupo y active la casilla de cada función para asignársela a
dicho usuario o grupo. A continuación, haga clic en Aceptar.
Nota
Las funciones Editor y Aprobador incluyen los permisos de la función
Revisor.
Consideraciones adicionales
De forma predeterminada, debe ser el aprobador que ha creado o controlado el GPO, o un
Administrador AGPM (Control total) para poder llevar a cabo este procedimiento. Más
concretamente, debe tener el permiso Mostrar contenido en el dominio y el permiso
Modificar seguridad en el GPO.
Para delegar la administración de un GPO controlado
54
Para delegar el acceso de lectura a los administradores de directivas de grupo que utilicen
AGPM, debe otorgarles los permisos Mostrar contenido y Leer configuración. Esto les
permitirá ver los GPO en la ficha Contenido de AGPM. Otros permisos se deben delegar de
forma explícita.
Los editores deben tener el permiso Lectura en la copia implementada de un GPO para
poder usar por completo la instalación de software de directivas de grupo.
Referencias adicionales
Creación o control de GPO
Importación de GPO de producción
Si se realizan cambios en un Objeto de directiva de grupo (GPO) controlado fuera de
Administración de directivas de grupos (AGPM), puede importar una copia del GPO desde el
entorno de producción del dominio y guardarla en el archivo para conseguir que el estado del
archivo y del entorno de producción sea coherente. (Para importar un GPO sin control,
contrólelo. Vea Control de GPO sin control).
Para completar este procedimiento, se necesita una cuenta de usuario en AGPM con la función
de Editor, Aprobador o Administrador de AGPM (Control total). Revise los detalles en
"Consideraciones adicionales" de este tema.
1. En el árbol de la Consola de administración de directivas de grupos, haga clic en
Control de cambios para el bosque y dominio en los que desea administrar los GPO.
2. En la ficha Contenidos, haga clic en Controlado para mostrar los GPO controlados.
3. Haga clic con el botón secundario en el GPO y, a continuación, haga clic en Importar
desde Producción.
4. Escriba un comentario para la traza de auditoría del GPO y, a continuación, haga clic en
Aceptar.
Consideraciones adicionales
De forma predeterminada, debe ser editor, aprobador o Administrador AGPM (Control total)
para poder llevar a cabo este procedimiento. Más concretamente, debe tener los permisos
Mostrar contenido y Editar configuración, Implementar GPO o Eliminar GPO en lo que
respecta al GPO.
Referencias adicionales
Creación o control de GPO
Protección de GPO
Generalmente, los editores deben proteger los Objetos de directiva de grupo (GPO) que han
editado cuando hayan finalizado sus modificaciones. (Para obtener más detalles, vea Edición de
Para importar un GPO desde el entorno de producción del dominio
55
GPO sin conexión). Sin embargo, si el editor no está disponible, un aprobador también puede
proteger GPO.
Para completar este procedimiento, se necesita una cuenta de usuario en Administración
avanzada de directivas de grupos (AGPM) con la función de Editor, Aprobador o Administrador
de AGPM (Control total), o con los permisos correspondientes. Revise los detalles en
"Consideraciones adicionales" de este tema.
1. En el árbol de la Consola de administración de directivas de grupos, haga clic en
Control de cambios para el bosque y dominio en los que desea administrar los GPO.
2. En la ficha Contenidos, haga clic en Controlado para mostrar los GPO controlados.
Para descartar los cambios realizados por el editor, haga clic con el botón
secundario en el GPO, haga clic en Deshacer desproteger y, a continuación, haga
clic en Sí para confirmar.
Para conservar los cambios realizados por el editor, haga clic con el botón
secundario en el GPO y, a continuación, haga clic en Proteger.
3. Escriba un comentario para que aparezca en la traza de auditoría del GPO y, a
continuación, haga clic en Aceptar.
4. Cuando la ventana Progreso indique que se ha completado el progreso general, haga
clic en Cerrar. En la ficha Controlado, el estado del GPO se identifica como Protegido.
Consideraciones adicionales
De forma predeterminada, para realizar este procedimiento debe ser un Editor, Aprobador o
Administrador de AGPM (Control total). Más concretamente, debe tener los permisos
Mostrar contenido y Editar configuración o Implementar GPO en lo que respecta al
GPO. Si no es aprobador o Administrador de AGPM (u otro administrador de directiva de
grupo con permiso Implementar GPO), deberá ser el editor que ha desprotegido el GPO.
Referencias adicionales
Realización de tareas del aprobador
Edición de GPO sin conexión
Implementación de GPO
Un aprobador puede implementar un Objeto de directiva de grupo (GPO) nuevo o editado en el
entorno de producción. Para obtener más información sobre la nueva implementación de una
versión anterior de un GPO, vea Reversión a una versión anterior de GPO.
Para completar este procedimiento, se necesita una cuenta de usuario en Administración
avanzada de directivas de grupos (AGPM) con la función de Aprobador o Administrador de
AGPM (Control total), o con los permisos correspondientes. Revise los detalles en
"Consideraciones adicionales" de este tema.
Para proteger GPO desprotegidos previamente por un editor
56
1. En el árbol de la Consola de administración de directivas de grupos, haga clic en
Control de cambios para el bosque y dominio en los que desea administrar los GPO.
2. En la ficha Contenidos, haga clic en Controlado para mostrar los GPO controlados.
3. Haga clic con el botón secundario en el GPO que desea implementar y, a continuación,
haga clic en Implementar.
4. Para revisar los enlaces del GPO, haga clic en Opciones avanzadas. Detenga el
puntero del mouse en un elemento del árbol para mostrar sus detalles.
De forma predeterminada, se restaurarán todos los vínculos del GPO.
Para impedir la restauración de un vínculo, desactive la casilla de dicho vínculo.
Para impedir la restauración de todos los enlaces, desactive la casilla Restaurar
enlaces del cuadro de diálogo Implementar GPO.
5. Haga clic en Sí. Cuando la ventana Progreso indique que se ha completado el progreso
general, haga clic en Cerrar.
Nota
Para verificar si se ha implementado la versión más reciente de un GPO, en la ficha
Controlado, haga doble clic en el GPO para mostrar su Historial. En el Historial del
GPO, la columna Estado indica si se ha implementado o no un GPO.
Consideraciones adicionales
De forma predeterminada, para realizar este procedimiento debe ser un Aprobador o
Administrador de AGPM (Control total). Más concretamente, debe tener los permisos
Mostrar contenido e Implementar GPO en lo que respecta al GPO.
Referencias adicionales
Realización de tareas del aprobador
Reversión a una versión anterior de GPO
Un aprobador puede deshacer cambios en un Objeto de directiva de grupo (GPO) si vuelve a
implementar una versión anterior del GPO desde su historial. La nueva implementación de una
versión anterior del GPO sobrescribe la versión del GPO que se encuentra actualmente en
producción.
Para completar este procedimiento, se necesita una cuenta de usuario en Administración
avanzada de directivas de grupos (AGPM) con la función de Aprobador o Administrador de
AGPM (Control total), o con los permisos correspondientes. Revise los detalles en
"Consideraciones adicionales" de este tema.
Para implementar el GPO en el entorno de producción
Para implementar una versión anterior de un GPO en el entorno de producción del dominio
57
1. En el árbol de la Consola de administración de directivas de grupos, haga clic en
Control de cambios para el bosque y dominio en los que desea administrar los GPO.
2. En la ficha Contenidos, haga clic en Controlado para mostrar los GPO controlados.
3. Haga doble clic en el GPO que se va a implementar para mostrar su Historial.
4. Haga clic con el botón secundario en la versión que se va a implementar, haga clic en
Implementar y, a continuación, haga clic en Sí.
5. Cuando la ventana Progreso indique que se ha completado el progreso general, haga
clic en Cerrar. En la ventana Historial, haga clic en Cerrar.
Nota
A fin de verificar que la versión que se ha vuelto a implementar coincide con la
versión que se pretendía, examine el informe de diferencias entre las dos versiones.
En la ventana Historial del GPO, resalte las dos versiones y, a continuación, haga
clic con el botón secundario y seleccione Diferencias e Informe HTML o Informe
XML.
Consideraciones adicionales
De forma predeterminada, para realizar este procedimiento debe ser un Aprobador o
Administrador de AGPM (Control total). Más concretamente, debe tener los permisos
Mostrar contenido e Implementar GPO en lo que respecta al GPO.
Referencias adicionales
Realización de tareas del aprobador
Eliminación, restauración o destrucción de GPO
Como aprobador, puede eliminar un Objeto de directiva de grupo (GPO) (moviéndolo a la
Papelera de reciclaje), restaurar un GPO de la Papelera de reciclaje (devolviéndolo al archivo) o
destruir un GPO (eliminándolo de forma permanente de forma que no se pueda restaurar).
Eliminación de GPO controlados
Restauración de GPO eliminados
Destrucción de GPO
Eliminación de GPO controlados
Los aprobadores pueden eliminar un Objeto de directiva de grupo (GPO) controlado, moviéndolo
a la Papelera de reciclaje.
Para completar este procedimiento, se necesita una cuenta de usuario en Administración
avanzada de directivas de grupos (AGPM) con la función de Aprobador o Administrador de
AGPM (Control total), o con los permisos correspondientes. Revise los detalles en
"Consideraciones adicionales" de este tema.
Para eliminar GPO controlados
58
1. En el árbol de la Consola de administración de directivas de grupos, haga clic en
Control de cambios para el bosque y dominio en los que desea administrar los GPO.
2. En la ficha Contenidos, haga clic en Controlado para mostrar los GPO controlados.
3. Haga clic con el botón secundario en el GPO que desea eliminar y, a continuación, haga
clic en Eliminar.
Para eliminar el GPO del archivo a la vez que no modifica la versión implementada
del GPO en el entorno de producción, haga clic en Suprimir GPO sólo del archivo.
Para eliminar el GPO tanto del archivo como del entorno de producción del dominio,
haga clic en Suprimir GPO del archivo y producción.
4. Escriba un comentario para que aparezca en la traza de auditoría del GPO y, a
continuación, haga clic en Aceptar.
5. Cuando la ventana Progreso indique que se ha completado el progreso general, haga
clic en Cerrar. El GPO se quita de la ficha Controlado y aparece en la ficha Papelera
de reciclaje, donde se puede restaurar o destruir. Si se elimina el GPO sólo del archivo,
también aparece en la ficha Sin control.
Consideraciones adicionales
De forma predeterminada, para realizar este procedimiento debe ser un Aprobador o
Administrador de AGPM (Control total). Más concretamente, debe tener los permisos
Mostrar contenido y Eliminar GPO en lo que respecta al GPO.
Para eliminar un GPO sin control del entorno de producción sin controlarlo primero, en la
Consola de administración de directiva de grupo, haga clic en Bosque, en Dominios, en
<MyDomain> y, a continuación, en Objetos de Directiva de Grupo. Haga clic con el botón
secundario en el GPO sin control y, a continuación, haga clic en Eliminar.
Referencias adicionales
Eliminación, restauración o destrucción de GPO
Restauración de GPO eliminados
Los aprobadores pueden restaurar un Objeto de directiva de grupo (GPO) eliminado de la
Papelera de reciclaje a través de su devolución al archivo.
Para completar este procedimiento, se necesita una cuenta de usuario en Administración
avanzada de directivas de grupos (AGPM) con la función de Aprobador o Administrador de
AGPM (Control total), o con los permisos correspondientes. Revise los detalles en
"Consideraciones adicionales" de este tema.
1. En el árbol de la Consola de administración de directivas de grupos, haga clic en
Control de cambios para el bosque y dominio en los que desea administrar los GPO.
2. En la ficha Contenido, haga clic en la ficha Papelera de reciclaje para mostrar los GPO
eliminados.
Para restaurar un GPO eliminado
59
3. Haga clic con el botón secundario en el GPO que desea restaurar y, a continuación,
haga clic en Restaurar.
4. Escriba un comentario para que aparezca en el historial del GPO y, a continuación, haga
clic en Aceptar.
5. Cuando la ventana Progreso indique que se ha completado el progreso general, haga
clic en Cerrar. El GPO se quita de la ficha Papelera de reciclaje y aparece en la ficha
Controlado.
Nota
Si se ha eliminado un GPO del entorno de producción, el hecho de restaurarlo en el
archivo no lo volverá a implementar de forma automática en el entorno de
producción. Para devolver el GPO al entorno de producción, impleméntelo. Para
obtener más información, consulte Implementación de GPO.
Consideraciones adicionales
De forma predeterminada, para realizar este procedimiento debe ser un Aprobador o
Administrador de AGPM (Control total). Más concretamente, debe tener los permisos
Mostrar contenido, Implementar GPO o Eliminar GPO en lo que respecta al GPO.
Referencias adicionales
Eliminación, restauración o destrucción de GPO
Destrucción de GPO
Los aprobadores pueden destruir un Objeto de directiva de grupo (GPO), quitándolo de la
papelera de reciclaje y eliminándolo permanentemente de forma que no pueda volver a
restaurarse.
Para completar este procedimiento, se necesita una cuenta de usuario en Administración
avanzada de directivas de grupos (AGPM) con la función de Aprobador o Administrador de
AGPM (Control total), o con los permisos correspondientes. Revise los detalles en
"Consideraciones adicionales" de este tema.
1. En el árbol de la Consola de administración de directivas de grupos, haga clic en
Control de cambios para el bosque y dominio en los que desea administrar los GPO.
2. En la ficha Contenido, haga clic en la ficha Papelera de reciclaje para mostrar los GPO
eliminados.
3. Haga clic con el botón secundario en el GPO que desea destruir y, a continuación, haga
clic en Destruir.
4. Haga clic en Sí para confirmar que desea eliminar de forma permanente el GPO
seleccionado y todas las copias de seguridad del archivo.
5. Cuando la ventana Progreso indique que se ha completado el progreso general, haga
clic en Cerrar. El GPO se quita de la ficha Papelera de reciclaje y se elimina de forma
Para eliminar de forma permanente un GPO de forma que no pueda volver a restaurarse
60
permanente.
Consideraciones adicionales
De forma predeterminada, para realizar este procedimiento debe ser un Aprobador o
Administrador de AGPM (Control total). Más concretamente, debe tener los permisos
Mostrar contenido y Eliminar GPO en lo que respecta al GPO.
Referencias adicionales
Eliminación, restauración o destrucción de GPO
Realización de tareas del revisor Un Revisor es una persona autorizada por un Administrador AGPM (Control total) para revisar o
auditar Objetos de directiva de grupo (GPO). Una persona con la función Revisor únicamente no
puede modificar GPO. Sin embargo, el resto de funciones incluyen la función Revisor.
Configuración de una conexión con el servidor de AGPM
Revisión de la configuración de GPO
Revisión de enlaces de GPO
Identificación de diferencias entre GPO, versiones de GPO o plantillas
Consideraciones adicionales
De forma predeterminada, se le proporcionan los siguientes permisos a la función Revisor:
Mostrar contenido
Leer configuración
Configuración de una conexión con el servidor de AGPM
Para asegurarse de que está conectado con el archivo central correcto, revise la configuración
de la conexión con el servidor de AGPM. Si un Administrador AGPM (Control total) no ha
configurado la conexión con un servidor de AGPM por usted, debe configurarla manualmente.
1. En el árbol de la Consola de administración de directivas de grupos, haga clic en
Control de cambios para el bosque y dominio en los que desea administrar los GPO.
2. En el panel de detalles, haga clic en la ficha Servidor AGPM:
Si las opciones de la ficha Servidor AGPM no están disponibles, es porque el
administrador de AGPM las ha configurado de forma centralizada.
Si las opciones de la ficha Servidor AGPM sí están disponibles, escriba el nombre
del equipo completo del servidor AGPM (por ejemplo, server.contoso.com) y el
puerto de escucha del servicio AGPM (de forma predeterminada, el puerto 4600).
Haga clic en Aplicar y, a continuación, haga clic en Sí para confirmar.
Consideraciones adicionales
Para seleccionar un servidor AGPM
61
Los servidores AGPM seleccionados determinan qué GPO se muestran en la ficha
Contenido y en qué ubicación se aplica la configuración de la ficha Delegación de
dominio. Si no se administra de forma central a través de la plantilla administrativa, cada
administrador de directiva de grupo debe configurar esta opción para que apunte al servidor
AGPM del dominio.
Referencias adicionales
Realización de tareas del revisor
Revisión de la configuración de GPO
Se pueden generar informes basados en HTML y en XML para revisar la configuración en
cualquier versión de un Objeto de directiva de grupo (GPO).
Para completar este procedimiento, se necesita una cuenta de usuario con la función Revisor,
Editor, Aprobador o Administrador de AGPM (Control total) en Administración avanzada de
directivas de grupos (AGPM). Revise los detalles en "Consideraciones adicionales" de este tema.
1. En el árbol de la Consola de administración de directivas de grupos, haga clic en
Control de cambios para el bosque y dominio en los que desea administrar los GPO.
2. En la ficha Contenido del panel de detalles, haga clic en una ficha para mostrar los
GPO.
3. Haga doble clic en el GPO para mostrar su historial.
4. Haga clic con el botón secundario en la versión de GPO cuya configuración desea
revisar, haga clic en Configuración y, a continuación, haga clic en Informe HTML o
Informe XML para mostrar un resumen de la configuración del GPO.
Consideraciones adicionales
De forma predeterminada, para realizar este procedimiento debe ser un Revisor, Editor,
Aprobador o Administrador de AGPM (Control total). Específicamente, es necesario tener los
permisos para Mostrar contenidos y Leer configuración del GPO. Asimismo, debe tener el
permiso de dominio Mostrar contenidos para mostrar la lista de GPO.
Referencias adicionales
Realización de tareas del revisor
Revisión de enlaces de GPO
Puede mostrar un diagrama donde se indique si el Objeto de directiva de grupo (GPO) o los
GPO seleccionados están vinculados a unidades organizativas. Los diagramas de enlaces de
GPO se actualizan cada vez que se controla, importa o protege un GPO.
Para completar este procedimiento, se necesita una cuenta de usuario con la función Revisor,
Editor, Aprobador o Administrador de AGPM (Control total) en Administración avanzada de
directivas de grupos (AGPM). Revise los detalles en "Consideraciones adicionales" de este tema.
Para revisar la configuración en cualquier versión de un GPO
62
Revisión de enlaces de GPO
Para uno o más GPO
Para una o más versiones de un GPO
1. En el árbol de la Consola de administración de directivas de grupos, haga clic en
Control de cambios para el bosque y dominio en los que desea administrar los GPO.
2. En la ficha Contenido del panel de detalles, haga clic en la ficha Controlado Pendiente
o Papelera de reciclaje para mostrar los GPO.
3. Seleccione uno o más GPO cuyos enlaces desee mostrar, haga clic con el botón
secundario en un GPO seleccionado, haga clic en Configuración y, a continuación,
haga clic en Enlaces de GPO para mostrar un diagrama de dominios y unidades
organizativas con enlaces a los GPO(s) seleccionado(s).
1. En el árbol de la Consola de administración de directivas de grupos, haga clic en
Control de cambios para el bosque y dominio en los que desea administrar los GPO.
2. En la ficha Contenido del panel de detalles, haga clic en la ficha Controlado o Papelera
de reciclaje para mostrar los GPO.
3. Haga doble clic en el GPO para mostrar su historial.
4. Haga clic con el botón secundario en la versión de GPO cuya configuración desea
revisar, haga clic en Configuración y, a continuación, haga clic en Informe HTML o
Informe XML para mostrar un resumen de la configuración del GPO.
Consideraciones adicionales
De forma predeterminada, para realizar este procedimiento debe ser un Revisor, Editor,
Aprobador o Administrador de AGPM (Control total). Específicamente, es necesario tener los
permisos para Mostrar contenidos y Leer configuración del GPO. Asimismo, debe tener el
permiso de dominio Mostrar contenidos para mostrar la lista de GPO.
Referencias adicionales
Realización de tareas del revisor
Identificación de diferencias entre GPO, versiones de GPO o
plantillas
Es posible generar informes de diferencias basados en HTML o en XML a fin de analizar las
diferencias entre Objetos de directiva de grupo (GPO), plantillas o distintas versiones de un
GPO.
Para completar este procedimiento, se necesita una cuenta de usuario con la función Revisor,
Editor, Aprobador o Administrador de AGPM (Control total) en Administración avanzada de
directivas de grupos (AGPM). Revise los detalles en "Consideraciones adicionales" de este tema.
Para mostrar enlaces de GPO de uno o más GPO
Para mostrar enlaces de GPO de una o más versiones de un GPO
63
Identificación de diferencias entre GPO, versiones de GPO o plantillas
Entre dos GPO o plantillas
Entre un GPO y una plantilla
Entre dos versiones de un GPO
Entre una versión de GPO y una plantilla
1. En el árbol de la Consola de administración de directivas de grupos, haga clic en
Control de cambios para el bosque y dominio en los que desea administrar los GPO.
2. En la ficha Contenido del panel de detalles, haga clic en una ficha para mostrar los GPO
(o las plantillas, si lo que se compara son dos plantillas).
3. Seleccione los dos GPO o plantillas.
4. Haga clic con el botón secundario en uno de los GPO o plantillas, haga clic en
Diferencias y, a continuación, en Informe HTML o Informe XML para mostrar un
informe de diferencias donde se resuma la configuración de los GPO o plantillas.
1. En el árbol de la Consola de administración de directivas de grupos, haga clic en
Control de cambios para el bosque y dominio en los que desea administrar los GPO.
2. En la ficha Contenido del panel de detalles, haga clic en una ficha para mostrar los GPO
(o las plantillas, si lo que se compara son dos plantillas).
3. Haga clic con el botón secundario en el GPO y, a continuación, haga clic en Diferencias
y en Plantilla.
4. Seleccione la plantilla y el tipo de informe y, a continuación, haga clic en Aceptar para
mostrar un informe de diferencias donde se resuma la configuración del GPO y la
plantilla.
1. En el árbol de la Consola de administración de directivas de grupos, haga clic en
Control de cambios para el bosque y dominio en los que desea administrar los GPO.
2. En la ficha Contenido del panel de detalles, haga clic en una ficha para mostrar los GPO
(o las plantillas, si lo que se compara son dos plantillas).
3. Haga doble clic en el GPO para mostrar su historial y, a continuación, resalte las
versiones que se van a comparar.
4. Haga clic con el botón secundario en una de las versiones, haga clic en Diferencias y, a
continuación, en Informe HTML o en Informe XML para mostrar un informe de
diferencias donde se resuma la configuración de los GPO.
Para identificar las diferencias entre dos GPO o plantillas
Para identificar diferencias entre un GPO y una plantilla
Para identificar diferencias entre dos versiones de un GPO
Para identificar diferencias entre una versión de GPO y una plantilla
64
1. En el árbol de la Consola de administración de directivas de grupos, haga clic en
Control de cambios para el bosque y dominio en los que desea administrar los GPO.
2. En la ficha Contenido del panel de detalles, haga clic en una ficha para mostrar los GPO
(o las plantillas, si lo que se compara son dos plantillas).
3. Haga doble clic en el GPO para mostrar su historial.
4. Haga clic con el botón secundario en la versión de GPO en cuestión y haga clic en
Diferencias y en Plantilla.
5. Seleccione la plantilla y el tipo de informe y, a continuación, haga clic en Aceptar para
mostrar un informe de diferencias donde se resuma la configuración de la versión de
GPO y la plantilla.
Clave de los informes de diferencias
Símbolo Significado Color
Ninguno Existe un elemento con una
configuración idéntica en ambos
GPO
Varía con el nivel
[#] Existe un mismo elemento en
ambos GPO, aunque con
distinta configuración
Azul
[-] Existe un elemento sólo en el
primer GPO
Rojo
[+] Existe un elemento sólo en el
segundo GPO
Verde
En el caso de elementos con distinta configuración, ésta se identifica al ampliar el elemento.
El valor del atributo en cada GPO se muestra en el mismo orden en que aparece el GPO en
el informe.
Algunos cambios en la configuración pueden provocar que un elemento se incluya en un
informe como dos elementos diferentes (uno presente solo en el primer GPO y uno presente
solo en el segundo) en lugar de incluirlo como un elemento que ha cambiado.
Consideraciones adicionales
De forma predeterminada, para realizar este procedimiento debe ser un Revisor, Editor,
Aprobador o Administrador de AGPM (Control total). Específicamente, es necesario tener los
permisos para Mostrar contenidos y Leer configuración del GPO. Asimismo, debe tener el
permiso de dominio Mostrar contenidos para mostrar la lista de GPO.
Referencias adicionales
Realización de tareas del revisor
65
Solución de problemas de AGPM En esta sección se enumeran algunos de los problemas más comunes que se pueden producir al
usar Administración de directivas de grupos (AGPM) para administrar Objetos de directiva de
grupo (GPO). Para diagnosticar problemas que no se enumeran aquí, puede resultar de utilidad
para el Administrador AGPM (Control total) usar las funciones de registro y seguimiento. Para
obtener más información, vea Configuración de registro y seguimiento.
Para obtener más información acerca de cómo revertir a una versión anterior de un GPO si
hay problemas, vea Reversión a una versión anterior de GPO.
Para obtener más información acerca de cómo recuperarse de un desastre restaurando el
archivo completo a partir de una copia de seguridad, vea Restauración del archivo a partir de
una copia de seguridad.
¿De qué problema se trata?
No puedo obtener acceso a un archivo
El estado de GPO varía para los distintos administradores de directivas de grupo.
No puedo modificar la conexión con el servidor de AGPM
No puedo cambiar la plantilla predeterminada o ver, crear, editar, cambiar el nombre,
implementar o eliminar GPO
No puedo utilizar un nombre de GPO concreto
No recibo notificaciones por correo electrónico de AGPM
No puedo utilizar el puerto 4600 para el servicio AGPM
El servicio AGPM no se inicia
Error de la Directiva de grupo de Instalación de software al instalar el software
Se produjo un error cuando restauré el archivo en un nuevo servidor AGPM
No puedo obtener acceso a un archivo
Causa: no ha seleccionado el servidor y el puerto correctos para el archivo.
Solución:
Si es un Administrador de AGPM: consulte Configuración de las conexiones con el
servidor de AGPM.
Si no es un Administrador de AGPM: solicite los detalles de conexión para el servidor
AGPM a un Administrador de AGPM. consulte Configuración de una conexión con el
servidor de AGPM.
Causa: el servicio AGPM no se ejecuta.
Solución:
Si es un Administrador de AGPM: inicie el servicio AGPM. Para obtener más
información, consulte Inicio o detención del servicio AGPM.
Notas
66
Si no es un Administrador de AGPM: póngase en contacto con un Administrador de
AGPM para obtener ayuda.
El estado de GPO varía para los distintos administradores de directivas de grupo.
Causa: distintos administradores de directivas de grupo han seleccionado servidores AGPM
diferentes para el mismo archivo.
Solución:
Si es un Administrador de AGPM: consulte Configuración de las conexiones con el
servidor de AGPM.
Si no es un Administrador de AGPM: solicite los detalles de conexión para el servidor
AGPM a un Administrador de AGPM. consulte Configuración de una conexión con el
servidor de AGPM.
No puedo modificar la conexión con el servidor de AGPM
Causa: si la configuración de la ficha Servidor AGPM no está disponible, el servidor AGPM
se ha configurado de forma centralizada mediante una plantilla administrativa.
Solución:
Si es un Administrador de AGPM: si la configuración de la ficha Servidor AGPM no está
disponible, vea Configuración de las conexiones con el servidor de AGPM.
Si no es un Administrador de AGPM: si la configuración de la ficha Servidor AGPM no
está disponible, no es necesario modificar el servidor AGPM.
No puedo cambiar la plantilla predeterminada o ver, crear, editar, cambiar el nombre, implementar o eliminar GPO
Causa: no se le ha asignado una función con los permisos que se necesitan para realizar las
tareas.
Solución:
Si es un Administrador de AGPM: Vea Delegación de acceso de nivel de dominio al
archivo y Delegación de acceso a GPO individuales en el archivo. Los permisos de
AGPM se mostrarán en cascada desde el dominio a todos los GPO que se encuentren
actualmente en el archivo. Para obtener más detalles sobre las funciones que pueden
realizar una tarea y los permisos necesarios para realizarla, consulte la ayuda de esa
tarea.
Si no es un Administrador de AGPM y es necesario que tenga funciones o permisos
adicionales: póngase en contacto con un Administrador de AGPM para obtener ayuda.
Tenga en cuenta que si es editor, puede empezar el proceso de creación de un GPO,
implementación de un GPO o eliminación de un GPO en el entorno de producción del
dominio, pero un aprobador o Administrador de AGPM deberán aprobar su solicitud.
No puedo utilizar un nombre de GPO concreto
Causa: el nombre de GPO ya se está utilizando o no tiene permiso para incluir el GPO.
Solución:
67
si el nombre de GPO aparece en la ficha Controlado, Sin control o Pendiente, elija
otro. Si se cambia el nombre de un GPO que se ha implementado, pero que aún no se
ha vuelto a implementar, este se mostrará con el nombre anterior en el entorno de
producción del dominio. Por lo tanto, el nombre anterior aún se usa. Vuelva a
implementar el GPO para actualizar su nombre en el entorno de producción y libere el
nombre para que otro GPO pueda utilizarlo.
Si el nombre de GPO no aparece en la ficha Controlado, Sin control o Pendiente, es
posible que no tenga permiso para incluir el GPO. Para solicitar el permiso, póngase en
contacto con un Administrador de AGPM.
No recibo notificaciones por correo electrónico de AGPM
Causa: no se ha proporcionado un servidor de correo electrónico SMTP y una dirección de
correo electrónico válidos o no se ha realizado ninguna acción que genere una notificación
por correo electrónico.
Solución:
Si es Administrador de AGPM: para las notificaciones por correo electrónico sobre las
acciones pendientes que AGPM debe enviar, un Administrador de AGPM debe
proporcionar un servidor de correo electrónico SMTP y direcciones de correo electrónico
válidos para los aprobadores en la ficha Delegación de dominio. Para obtener más
información, consulte Configuración de notificación por correo electrónico.
Las notificaciones por correo electrónico se generan únicamente cuando un editor,
revisor u otro administrador de directiva de grupo, que no tiene el permiso necesario
para crear, implementar o eliminar un GPO, envía una solicitud para que se produzca
una de esas acciones. No se produce notificación automática alguna de aprobación o
rechazo de una solicitud.
No puedo utilizar el puerto 4600 para el servicio AGPM
Causa: de forma predeterminada, el puerto en el que el servicio AGPM realiza la escucha es
el puerto 4600.
Solución: si el puerto 4600 no está disponible para el servicio AGPM, modifique la
configuración del puerto en el servidor AGPM para utilizar otro puerto y, a continuación,
actualice el puerto en la conexión con el servidor de AGPM para los clientes AGPM. Para
obtener más información, consulte Modificación del servicio AGPM.
El servicio AGPM no se inicia
Causa: ha modificado la configuración del servicio AGPM en el sistema operativo en
Herramientas administrativas y Servicios.
Solución: modifique la configuración de Advanced Group Policy Management de
Microsoft: servidor de Programas y características de Panel de control. Para obtener
más información, consulte Modificación del servicio AGPM.
Error de la instalación de software de directivas de grupo al instalar el software
68
Causa: AGPM conserva la integridad de los paquetes de instalación de software de
directivas de grupo. Aunque los GPO se editan sin conexión, se conservan los vínculos entre
paquetes, así como la información de cliente en caché. Está diseñado así.
Solución: al editar un GPO sin conexión con AGPM, configure las actualizaciones de la
Directiva de grupo de Instalación de software de un paquete en otro GPO para hacer
referencia al GPO implementado, no a la copia desprotegida. El editor debe tener permiso de
lectura para el GPO implementado.
Se produjo un error cuando restauré el archivo en un nuevo servidor AGPM
Causa: por motivos de seguridad, el cifrado que protege la contraseña que se ha introducido
en la ficha Delegación de dominio hace que se produzca un error en la contraseña si se
desplaza el archivo a otro equipo.
Solución: vuelva a introducir y confirmar la contraseña en la ficha Delegación de dominio.
Para obtener más información, consulte Configuración de notificación por correo electrónico.
Interfaz de usuario: Advanced Group Policy Management Administración de directivas de grupos (AGPM) agrega una carpeta Control de cambios a cada
dominio que se muestra en la Consola de administración de directiva de grupo (GPMC). En
un entorno en el que se administran varios dominios con GPMC, cada dominio se incluye en la
carpeta Dominios en el árbol de consola. Cada dominio tiene una carpeta Control de cambios
en ella y existe un archivo de Objetos de directiva de grupo (GPO) por dominio.
Dentro del panel de detalles existen cuatro fichas principales que proporcionan acceso tanto a la
configuración a nivel de GPO, como a la configuración a nivel de dominio y a los comandos para
AGPM. Asimismo, existe una configuración de la plantilla administrativa específica para AGPM.
Ficha Contenido: los comandos y la configuración de GPO y la delegación a nivel de GPO
Ficha Delegación de dominio: la configuración de la notificación por correo electrónico para
AGPM y la delegación a nivel de dominio
Ficha Servidor AGPM: configuración de la conexión de archivo a nivel de dominio
Ficha Delegación de producción: delegación del entorno de producción
Carpeta Plantillas administrativas: configuración central de registro y seguimiento,
ubicaciones de archivos y visibilidad de las funciones
Ficha Contenido
La ficha Contenido del panel Control de cambios permite el acceso a Objetos de directiva de
grupo (GPO) y a un menú de acceso directo para administrar GPO. Las opciones que aparecen
al hacer clic con el botón secundario en los elementos dependen de su función, sus permisos y
su nivel de posesión del GPO que se está administrando. Además, estos menús de acceso
directo pueden ser distintos en función del estado del GPO que se está administrando.
Las siguientes fichas secundarias filtran la lista de los GPO mostrados:
69
Controlado: GPO administrados por Administración de directivas de grupos (AGPM)
Sin control: GPO no administrados por AGPM
Pendiente: cambios de GPO en espera de aprobación por parte de un aprobador
Plantillas: plantillas de GPO para la creación de nuevos GPO y para la comparación con
GPO existentes
Papelera de reciclaje: GPO eliminados
La ficha Contenido y sus fichas secundarias proporcionan detalles sobre cada GPO y acceso al
historial de cada uno:
Configuración de la ficha Contenido
Ventana Historial
Al hacer clic con el botón secundario en los GPO de cualquier ficha secundaria, aparece un
menú de acceso directo único de dicha ficha, donde se proporcionan comandos de
administración de los GPO:
Comandos de GPO controlados
Comandos de GPO sin control
Comandos de GPO pendientes
Comandos de plantillas
Comandos de la papelera de reciclaje
Referencias adicionales
Interfaz de usuario: Advanced Group Policy Management
Configuración de la ficha Contenido
Cada ficha secundaria de la ficha Contenido tiene dos secciones: Objetos de Directiva de
Grupo y Grupos y usuarios.
Sección Objetos de Directiva de Grupo
La sección Objetos de Directiva de Grupo muestra una lista filtrada de Objetos de directiva de
grupo (GPO) e identifica los siguientes atributos para cada GPO. Puede usar el cuadro Buscar
para buscar GPO con atributos específicos. Para obtener más información, vea Búsqueda y
filtrado de la lista de GPO.
Atributo de GPO Descripción
Nombre Nombre del GPO.
Estado Estado del GPO seleccionado
Cambiado por El editor que ha protegido el GPO seleccionado
o el aprobador que lo ha implementado.
Fecha de cambio En el caso de un GPO controlado, la fecha más
70
Atributo de GPO Descripción
reciente en que se protegió tras haber sido
modificado o desprotegido para poder
modificarse. En el caso de un GPO sin control,
el fecha en que se modificó por última vez.
Comentario Comentario introducido por la persona que ha
protegido o implementado un GPO en el
momento de su modificación. Resulta útil para
identificar los detalles de la versión en caso de
que sea necesario revertir a una versión
anterior.
Versión de equipo Versión generada automáticamente de la parte
Configuración del equipo del GPO.
Versión de usuario Versión generada automáticamente de la parte
Configuración del usuario del GPO.
Estado de GPO La configuración del equipo y la del usuario se
pueden administrar por separado. El estado de
GPO indica qué partes del GPO están
habilitadas.
Filtro WMI Permite mostrar los filtros WMI que se aplican
a este GPO. Los filtros WMI se administran en
la carpeta Filtros WMI del dominio, en el árbol
de consola del GPMC.
Sección Grupos y usuarios
Al seleccionar un GPO, la sección Grupos y usuarios muestra una lista de los grupos y
usuarios con acceso a dicho GPO. Aparecen la herencia y los permisos otorgados de cada grupo
o usuario. Un Administrador de AGPM puede configurar permisos mediante las funciones de
AGPM estándar (Editor, Aprobador, Revisor y Administrador de AGPM) o mediante una
combinación personalizada de permisos.
Botón Efecto
Agregar Permite agregar una nueva entrada al
descriptor de seguridad. Se puede agregar
cualquier usuario o grupo de Active Directory.
Quitar Permite quitar la entrada seleccionada de la
lista de control de acceso.
71
Botón Efecto
Propiedades Permite ver las propiedades del objeto
seleccionado. La página de propiedades es la
misma que la que se muestra para un objeto
de Equipos y usuarios de Active Directory.
Opciones avanzadas Abra el Editor de la lista de control de
acceso.
Consideraciones adicionales
Para obtener más información sobre las funciones y los permisos relacionados con tareas
específicas, consulte las tareas en Realización de tareas del administrador de AGPM,
Realización de tareas del editor, Realización de tareas del aprobador y Realización de tareas
del revisor.
Referencias adicionales
Ficha Contenido
Ventana Historial
El historial de un Objeto de directiva de grupo (GPO) se puede mostrar al hacer doble clic en un
GPO o al hacer clic con el botón secundario en un GPO y, a continuación, hacer clic en
Historial. También aparece en la Consola de administración de directivas de grupo (GPMC)
como ficha para cada GPO.
El historial proporciona un registro de los eventos durante la vigencia del GPO seleccionado.
Desde la ventana Historial, puede obtener un informe de la configuración de una la versión del
GPO, comparar varias versiones de un GPO o revertir a una versión anterior de un GPO.
Filtrado de eventos en la ventana Historial
Las fichas de la ventana Historial filtran los estados del historial del GPO.
Fichas Filtrado
Todos los estados Permite mostrar todos los estados del historial
del GPO.
Versiones únicas Permite mostrar sólo las versiones únicas del
GPO protegido en el archivo. La versión
implementada en el entorno de producción, los
accesos directos a versiones únicas y los
estados informativos se omiten de esta lista.
Información de evento
Se proporciona información para cada estado del historial del GPO.
72
Atributo de GPO Descripción
Fecha de cambio Marca de tiempo del momento en el que se
realizó la acción en la columna Estado.
Estado Estado del historial del GPO.
Cambiado por Persona que ha protegido o implementado el
GPO.
Comentario Comentario escrito por la persona que protegió
o implementó un GPO en el momento en que la
versión se cambió; resulta útil para identificar
las particularidades de la versión en caso de
tener que revertir a una versión anterior.
Eliminable Si se puede eliminar o no esta versión del GPO
si el número de versiones únicas de cada GPO
que se retiene en el archivo está limitado.
Nota
Puede cambiar si una versión de un
GPO se puede eliminar haciendo clic
con el botón secundario en el GPO y, a
continuación, haciendo clic en No
permitir eliminación o en Permitir
eliminación.
Versión de equipo Versión generada automáticamente de la parte
Configuración del equipo del GPO.
Versión de usuario Versión generada automáticamente de la parte
Configuración del usuario del GPO.
Estado de GPO La configuración del equipo y la del usuario se
pueden administrar por separado. Este estado
muestra qué partes del GPO están habilitadas.
Información del GPO de origen Para un GPO importado desde otro bosque, el
nombre original del GPO, dominio, usuario y
fecha asociados al último cambio.
Informes
Los botones Configuración y Diferencias muestran informes sobre la configuración de GPO
para las versiones seleccionadas del GPO. Además, al hacer clic con el botón secundario en una
73
versión o versiones del GPO, se proporciona la opción de mostrar también los informes basados
en XML.
Botón Efecto
Configuración Permite generar un informe basado en HTML
donde se muestra la configuración dentro de la
versión seleccionada del GPO.
Diferencias Permite generar un informe basado en HTML
donde se compara la configuración dentro de
varias versiones seleccionadas del GPO.
Clave de los informes de diferencias
Símbolo Significado Color
Ninguno Existe un elemento con una
configuración idéntica en ambos
GPO
Varía con el nivel
[#] Existe un mismo elemento en
ambos GPO, aunque con
distinta configuración
Azul
[-] Existe un elemento sólo en el
primer GPO
Rojo
[+] Existe un elemento sólo en el
segundo GPO
Verde
En el caso de elementos con distinta configuración, ésta se identifica al ampliar el elemento.
El valor del atributo en cada GPO se muestra en el mismo orden en que aparece el GPO en
el informe.
Algunos cambios en la configuración pueden provocar que se indique que un elemento son
dos diferentes (uno presente solo en el primer GPO y el otro solo en el segundo) en lugar de
indicar que ha cambiado.
Referencias adicionales
Ficha Contenido
Comandos de GPO controlados
La ficha Controlado:
Muestra una lista de Objetos de directiva de grupo (GPO) administrados por Administración
de directivas de grupos (AGPM).
74
Proporciona un menú de acceso directo con comandos para la administración de GPO y
para mostrar el historial y los informes de GPO.
Muestra una lista de los grupos y usuarios que tienen permiso de acceso a un GPO
seleccionado.
Al hacer clic con el botón secundario en la lista Objetos de Directiva de Grupo en esta ficha, se
muestra un menú contextual. Este menú incluye las opciones que sean aplicables de entre las
siguientes.
Control e historial
Comando Efecto
Nuevo GPO controlado Permite crear un GPO nuevo con control de
cambios administrado a través de AGPM e
implementarlo en el entorno de producción del
dominio. Si no tiene permiso para crear un
GPO, se le preguntará si desea enviar una
solicitud. (Esta opción se muestra si no se
selecciona ningún GPO al hacer clic con el
botón secundario en la lista Objetos de
Directiva de Grupo).
Historial Permite abrir una ventana con una lista de
todas las versiones del GPO seleccionado que
se ha guardado en el archivo. Desde el
historial, puede obtener un informe de la
configuración de un GPO, comparar dos
versiones de un GPO, comparar un GPO con
una plantilla o revertirlo a una versión anterior
de un GPO.
Informes
Comando Efecto
Configuración Permite generar un informe basado en HTML o
en XML donde se muestra la configuración del
GPO seleccionado o mostrar los vínculos a los
GPO seleccionados desde unidades
organizativas a partir del momento en que los
GPO se controlaron, importaron o protegieron
por última vez.
Diferencias Permite generar un informe basado en XML o
75
Comando Efecto
en HTML donde se compara la configuración
dentro de los dos GPO seleccionados o dentro
del GPO seleccionado y una plantilla.
Edición
Comando Efecto
Editar Permite abrir la ventana Editor de
administración de directivas de grupo para
realizar cambios en el GPO seleccionado.
Desproteger Permite obtener una copia del GPO
seleccionado del archivo para editarlo sin
conexión y prohibir que los demás lo editen
hasta que lo vuelva a proteger en el archivo.
Un Administrador AGPM (Control total) puede
invalidar la opción Desproteger.
Proteger Permite proteger la versión editada del GPO
seleccionado en el archivo para que otros
Editores autorizados puedan realizar cambios o
para que un aprobador pueda implementarlo
en el entorno de producción del dominio.
Deshacer desproteger Permite devolver un GPO desprotegido al
archivo sin cambios.
Administración de versiones
Comando Efecto
Importar desde producción Para el GPO seleccionado, permite copiar la
versión del entorno de producción del dominio
en el archivo.
Importar desde archivo Permite reemplazar la configuración de
directiva del GPO desprotegido seleccionado
con la de un archivo de copia de seguridad de
GPO.
Eliminar Permite desplazar el GPO seleccionado a la
Papelera de reciclaje e indicar si se desea
dejar la versión implementada (en el caso de
76
Comando Efecto
que existiera) en producción o si desea
eliminarla, así como la versión del archivo. Si
no tiene permiso para eliminar un GPO, se le
preguntará si desea enviar una solicitud.
Implementar Permite desplazar el GPO seleccionado que se
ha protegido en el archivo al entorno de
producción del dominio. Esta acción lo activa
en la red y sobrescribe la versión de GPO
anteriormente activa, en el caso de que exista.
Si no tiene permiso para implementar un GPO,
se le preguntará si desea enviar una solicitud.
Exportar a Se guarda el GPO seleccionado en un archivo
de copia de seguridad para que se pueda
copiar en otro dominio.
Etiqueta Permite marcar el GPO seleccionado con una
etiqueta descriptiva (como "Correcto conocido")
y un comentario para mantener un registro. Las
etiquetas aparecen en la columna Estado y los
comentarios en la columna Comentario de la
ventana Historial. Sirven para ayudar a
identificar las versiones anteriores de un GPO
de modo que se pueda revertir a una versión
anterior si se produce algún problema.
Cambiar nombre Permite cambiar el nombre del GPO
seleccionado. Si el GPO ya se ha
implementado, el nombre se actualizará en el
entorno de producción del dominio cuando se
vuelva a implementar el GPO.
Guardar como plantilla Permite crear una nueva plantilla en función de
la configuración del GPO seleccionado.
Varios
Comando Efecto
Actualizar Permite actualizar la pantalla de la Consola de
administración de directiva de grupo (GPMC)
para que refleje los cambios. Algunos cambios
no serán visibles hasta que se actualice la
77
Comando Efecto
pantalla.
Ayuda Permite mostrar la ayuda de AGPM.
Referencias adicionales
Ficha Contenido
Realización de tareas del editor
Realización de tareas del aprobador
Realización de tareas del revisor
Comandos de GPO sin control
La ficha Sin control:
Muestra una lista de Objetos de directiva de grupo (GPO) no administrados por
Administración de directivas de grupos (AGPM).
Proporciona un menú de acceso directo con comandos para que AGPM pueda administrar
los GPO sin control y para mostrar el historial y los informes de GPO.
Muestra una lista de los grupos y usuarios que tienen permiso de acceso a un GPO
seleccionado.
Al hacer clic con el botón secundario en la lista Objetos de Directiva de Grupo en esta ficha, se
muestra un menú de acceso directo que incluye cualquiera de las siguientes opciones (si están
disponibles).
Control e historial
Comando Efecto
Historial Permite abrir una ventana con un listado de
todas las versiones del GPO seleccionado que
se ha guardado en el archivo. Desde el
historial, puede obtener un informe de la
configuración de un GPO, comparar dos
versiones de un GPO, comparar un GPO con
una plantilla o revertirlo a una versión anterior
de un GPO.
Control Permite someter el GPO sin control
seleccionado a la administración de control de
cambios de AGPM. Si no tiene permiso para
controlar un GPO, se le preguntará si desea
enviar una solicitud.
78
Comando Efecto
Guardar como plantilla Permite crear una nueva plantilla en función de
la configuración del GPO seleccionado.
Informes
Comando Efecto
Configuración Permite generar un informe basado en XML o
en HTML donde se muestra la configuración
dentro del GPO seleccionado.
Diferencias Permite generar un informe basado en XML o
en HTML donde se compara la configuración
dentro de los dos GPO seleccionados o dentro
del GPO seleccionado y una plantilla.
Varios
Comando Efecto
Actualizar Permite actualizar la pantalla de la Consola de
administración de directiva de grupo (GPMC)
para que refleje los cambios. Algunos cambios
no serán visibles hasta que se actualice la
pantalla.
Ayuda Permite mostrar la ayuda de AGPM.
Referencias adicionales
Ficha Contenido
Realización de tareas del editor
Realización de tareas del aprobador
Realización de tareas del revisor
Comandos de GPO pendientes
La ficha Pendiente:
Muestra una lista de Objetos de directiva de grupo (GPO) con solicitudes pendientes para las
acciones de administración de GPO (como la creación, el control, la implementación y la
eliminación).
79
Proporciona un menú de acceso directo con comandos para responder a las solicitudes
pendientes y para mostrar el historial y los informes de GPO.
Muestra una lista de los grupos y usuarios que tienen permiso de acceso a un GPO
seleccionado.
Al hacer clic con el botón secundario en la lista Objetos de Directiva de Grupo en esta ficha, se
muestra un menú contextual que incluye cualquiera de las siguientes opciones (si están
disponibles).
Control e historial
Comando Efecto
Historial Permite abrir una ventana con una lista de
todas las versiones del GPO seleccionado que
se ha guardado en el archivo. Desde el
historial, puede obtener un informe de la
configuración de un GPO, comparar dos
versiones de un GPO, comparar un GPO con
una plantilla o revertirlo a una versión anterior
de un GPO.
Retirar Permite retirar la solicitud pendiente para crear,
controlar o eliminar el GPO seleccionado antes
de aprobar la solicitud.
Aprobar Permite completar una solicitud pendiente de
un editor para crear, controlar o eliminar el
GPO seleccionado.
Rechazar Permite denegar una solicitud pendiente de un
editor para crear, controlar o eliminar el GPO
seleccionado.
Informes
Comando Efecto
Configuración Permite generar un informe basado en HTML o
en XML donde se muestra la configuración del
GPO seleccionado o mostrar los enlaces a los
GPO seleccionados desde unidades
organizativas a partir del momento en que los
GPO se controlan, importan o protegen por
última vez.
80
Comando Efecto
Diferencias Permite generar un informe basado en XML o
en HTML donde se compara la configuración
dentro de los dos GPO seleccionados o dentro
del GPO seleccionado y una plantilla.
Varios
Comando Efecto
Actualizar Permite actualizar la pantalla de la Consola de
administración de directiva de grupo (GPMC)
para que refleje los cambios. Algunos cambios
no serán visibles hasta que se actualice la
pantalla.
Ayuda Permite mostrar la ayuda de AGPM.
Referencias adicionales
Ficha Contenido
Realización de tareas del aprobador
Realización de tareas del revisor
Comandos de plantillas
Ficha Plantillas:
Muestra una lista de las plantillas disponibles que se pueden usar para crear nuevos Objetos
de directiva de grupo (GPO).
Proporciona un menú de acceso directo con comandos para la creación de GPO en función
de una plantilla seleccionada, la administración de plantillas y la visualización de informes
para éstas.
Muestra una lista de los grupos y usuarios que tienen permiso de acceso a una plantilla
seleccionada.
Dado que no se pueden modificar, las plantillas no tienen historial. Sin embargo, como cualquier
versión de GPO, la configuración de una plantilla se puede mostrar con un informe de
configuración o en comparación con otro GPO con un informe de diferencias.
Una plantilla es una versión estática y no editable de un GPO para su uso como punto
de partida para la creación de nuevos GPO editables.
Nota
81
Al hacer clic con el botón secundario en la lista Objetos de Directiva de Grupo en esta ficha, se
muestra un menú de acceso directo que incluye cualquiera de las siguientes opciones (si están
disponibles).
Control
Comando Efecto
Nuevo GPO controlado Permite crear un nuevo GPO en función de la
plantilla seleccionada. Se ofrece la opción de
implementar el nuevo GPO en el entorno de
producción del dominio. Si no tiene permiso
para crear un GPO, se le preguntará si desea
enviar una solicitud. (Esta opción se muestra si
no se selecciona ningún GPO al hacer clic con
el botón secundario en la lista Objetos de
Directiva de Grupo.)
Informes
Comando Efecto
Configuración Permite generar un informe basado en XML o
en HTML donde se muestra la configuración
dentro del GPO seleccionado.
Diferencias Permite generar un informe basado en XML o
en HTML donde se compara la configuración
dentro de las dos plantillas de GPO
seleccionadas.
Administración de plantillas
Comando Efecto
Establecer como predeterminado Establezca la plantilla seleccionada como
predeterminada para que se use
automáticamente al crear un nuevo GPO.
Eliminar Mover el elemento seleccionado a la Papelera
de reciclaje. Si no tiene permiso para eliminar
un GPO, se le preguntará si desea enviar una
solicitud.
Cambiar nombre Cambie el nombre de la plantilla seleccionada.
82
Varios
Comando Efecto
Actualizar Actualice la pantalla de la Consola de
administración de directiva de grupo para que
refleje los cambios. Algunos cambios no serán
visibles hasta que se actualice la pantalla.
Help Permite mostrar la ayuda de Administración de
directivas de grupos (AGPM).
Referencias adicionales
Ficha Contenido
Realización de tareas del editor
Realización de tareas del revisor
Comandos de la papelera de reciclaje
Ficha Papelera de reciclaje:
Muestra una lista de Objetos de directiva de grupo (GPO) eliminados del archivo.
Proporciona un menú de acceso directo con comandos para la administración de GPO y
para mostrar informes de GPO.
Muestra una lista de los grupos y usuarios que tienen permiso de acceso a un GPO
seleccionado.
Al hacer clic con el botón secundario en la lista Objetos de Directiva de Grupo en esta ficha, se
muestra un menú de acceso directo que incluye cualquiera de las siguientes opciones (si están
disponibles):
Informes
Comando Efecto
Configuración Permite generar un informe basado en HTML o
en XML donde se muestra la configuración del
GPO seleccionado o mostrar los enlaces a los
GPO seleccionados desde unidades
organizativas a partir del momento en que los
GPO se controlaron, importaron o protegieron
por última vez.
Diferencias Permite generar un informe basado en XML o
en HTML donde se compara la configuración
83
Comando Efecto
dentro de los dos GPO seleccionados o dentro
del GPO seleccionado y una plantilla.
Administración de versiones
Comando Efecto
Destruir Permite quitar el GPO seleccionado de la
Papelera de reciclaje de forma que ya no se
pueda restaurar nunca más.
Restaurar Permite desplazar el GPO seleccionado desde
la Papelera de reciclaje a la ficha Controlado.
Este proceso no restaura el GPO en el entorno
de producción.
Varios
Comando Efecto
Actualizar Actualice la pantalla de la Consola de
administración de directiva de grupo (GPMC)
para que refleje los cambios. Algunos cambios
no serán visibles hasta que se actualice la
pantalla.
Ayuda Permite mostrar la ayuda de Administración de
directivas de grupos (AGPM).
Referencias adicionales
Ficha Contenido
Realización de tareas del aprobador
Realización de tareas del revisor
Ficha Delegación de dominio
La ficha Delegación de dominio del panel Control de cambios proporciona una lista de los
administradores de directiva de grupo que tienen acceso a nivel de dominio al archivo e indica
las funciones de cada uno. Además, esta ficha permite que los Administradores AGPM (Control
total) configuren los permisos en el nivel de dominio para los editores, aprobadores, revisores y
otros Administradores de AGPM. La ficha Delegación de dominio se compone de dos
84
secciones: la configuración de la notificación por correo electrónico y la delegación basada en
funciones para Administración de directivas de grupos (AGPM) a nivel de dominio.
Configuración de notificaciones por correo electrónico
La sección de notificación por correo electrónico de esta ficha identifica los aprobadores que
recibirán la notificación cuando las operaciones están pendientes en AGPM.
Opción Descripción
Desde dirección de correo electrónico Alias de AGPM desde el que se envía la
notificación a los aprobadores. En un entorno
con varios dominios, puede ser el mismo alias
a lo largo del entorno o un alias distinto para
cada dominio.
A dirección de correo electrónico Lista delimitada por comas de las direcciones
de correo electrónico de los aprobadores a los
que se les envía la notificación.
Servidor SMTP Nombre del servidor de correo electrónico
como, por ejemplo, mail.contoso.com
Nombre de usuario Usuario con acceso al servidor SMTP.
Contraseña Contraseña del usuario para la autenticación
del servidor SMTP.
Confirmar contraseña Permite confirmar la contraseña del usuario.
Delegación basada en funciones y a nivel de dominio
La sección de delegación basada en funciones de esta ficha muestra y permite que un
Administrador de AGPM delegue permisos válidos, denegados y heredados a cada grupo y
usuario del dominio que tenga acceso al archivo. Un Administrador de AGPM puede configurar
permisos a todo el dominio mediante las funciones de AGPM estándar (Editor, Aprobador,
Revisor y Administrador de AGPM) o mediante una combinación personalizada de permisos para
cada administrador de directiva de grupo.
Botón Efecto
Agregar Permite agregar una nueva entrada al
descriptor de seguridad. Se pueden agregar
usuarios o grupos a Active Directory como
administradores de directivas de grupo.
Quitar Permite quitar los administradores de directivas
85
Botón Efecto
de grupo seleccionados de la lista de control de
acceso.
Propiedades Permite mostrar las propiedades de los
administradores de directivas de grupo
seleccionados.
Opciones avanzadas Abra el Editor de la lista de control de
acceso.
Consideraciones adicionales
Para obtener más información sobre las funciones y los permisos relacionados con tareas
específicas, consulte las tareas en Realización de tareas del administrador de AGPM,
Realización de tareas del editor, Realización de tareas del aprobador y Realización de tareas
del revisor.
Referencias adicionales
Interfaz de usuario: Advanced Group Policy Management
Realización de tareas del administrador de AGPM
Ficha Servidor AGPM
La ficha Servidor AGPM del panel Control de cambios le permite seleccionar un servidor
AGPM mediante la introducción de un puerto y un nombre de equipo completos y eliminar
versiones antiguas de Objetos de directiva de grupo (GPO) del archivo para poder conservar
espacio en disco en el servidor AGPM.
Especificación del servidor AGPM
El servidor AGPM seleccionado determina qué archivo se le muestra en la ficha Contenido y en
qué ubicación se aplica la configuración de Delegación de dominio. El puerto predeterminado
de Administración de directivas de grupos (AGPM) es el puerto 4600.
Si se realiza una configuración central de la conexión con el servidor de AGPM mediante la
configuración de la plantilla administrativa, las opciones de esta ficha para la configuración de la
conexión no están disponibles. Para obtener más información, vea Configuración de las
conexiones con el servidor de AGPM.
Eliminación de versiones de GPO antiguas
De forma predeterminada, todas las versiones de cada GPO controlado se retienen en el
archivo. Sin embargo, el servicio AGPM se puede configurar para limitar el número de versiones
conservadas para cada GPO y eliminar automáticamente la versión más antigua cuando se
supera dicho límite. Sólo las versiones de GPO que aparecen en la ficha Versiones únicas de la
ventana Historial cuentan con respecto al límite.
86
El número máximo de versiones únicas que se almacena para cada GPO no incluye la
versión actual, por tanto, el valor 0 conserva sólo la versión actual. El límite no debe ser
superior a 999 versiones.
Al eliminar una versión de GPO, un registro de dicha versión permanece en el historial
del GPO, aunque la propia versión de GPO se elimina del archivo. Puede impedir que se
elimine una versión de GPO si la marca en el historial como no eliminable.
Referencias adicionales
Interfaz de usuario: Advanced Group Policy Management
Realización de tareas del administrador de AGPM
Realización de tareas del revisor
Ficha Delegación de producción
La ficha Delegación de producción del panel Control de cambios proporciona una lista de
usuarios y grupos que tienen acceso de nivel de dominio a Objetos de directiva de grupo (GPO)
controlados en el entorno de producción e indica los permisos otorgados a cada usuario o grupo.
Esta ficha permite que un Administrador AGPM (Control total) modifique la delegación de acceso
a los GPO predeterminada del entorno de producción del dominio, agregando o quitando
usuarios y grupos, y modificando los permisos otorgados a cada usuario y grupo.
Botón Efecto
Agregar Permite agregar una nueva entrada al
descriptor de seguridad.
Quitar Permite quitar los grupos o usuarios
seleccionados de la lista de control de acceso.
Propiedades Permite ver las propiedades de los grupos o
usuarios seleccionados. La página de
propiedades es la misma que la que se
muestra para un objeto de Equipos y
usuarios de Active Directory.
Referencias adicionales
Interfaz de usuario: Advanced Group Policy Management
Realización de tareas del administrador de AGPM
Carpeta Plantillas administrativas
La configuración de la plantilla administrativa de Administración de directivas de grupos (AGPM)
le permite configurar de forma centralizada las opciones de registro y seguimiento de los clientes
Notas
87
y servidores AGPM a los que se aplica un Objeto de directiva de grupo (GPO) con esta
configuración. Asimismo, esta configuración permite configurar de forma centralizada las
ubicaciones de los archivos y la visibilidad de la carpeta Control de cambios y la ficha Historial
para los administradores de directiva de grupo a los que se aplica un GPO con esta
configuración.
Configuración de registro y seguimiento
Configuración de conexión con el servidor de AGPM
Configuración de la visibilidad de características
Referencias adicionales
Interfaz de usuario: Advanced Group Policy Management
Realización de tareas del administrador de AGPM
Configuración de registro y seguimiento
La configuración de la plantilla administrativa de Administración de directivas de grupos (AGPM)
le permite configurar las opciones de registro y seguimiento de forma centralizada para los
clientes y servidores AGPM a los que se les aplica un Objeto de directiva de grupo (GPO) con
esta configuración.
La siguiente configuración está disponible en Configuración del equipo\Directivas\Plantillas
administrativas\Componentes de Windows\AGPM cuando edite un GPO.
Rastrear ubicaciones de archivos:
Cliente: %LocalAppData%\Microsoft\AGPM\agpm.log
Servidor: %ProgramData%\Microsoft\AGPM\agpmserv.log
Opción Efecto
AGPM: configurar registro Esta configuración de directiva le permite
activar y configurar el registro de AGPM. Esta
configuración afecta tanto a los componentes
del servidor AGPM como a los clientes AGPM.
Referencias adicionales
Carpeta Plantillas administrativas
Configuración de conexión con el servidor de AGPM
Puede utilizar la configuración de la plantilla administrativa de Administración de directivas de
grupos (AGPM) para la configuración central de las conexiones con el servidor de AGPM de los
administradores de directiva de grupo a quienes se les aplique un Objeto de directiva de grupo
(GPO) con esta configuración.
La siguiente configuración está disponible en Configuración de usuario\Directivas\Plantillas
administrativas\Componentes de Windows\AGPM cuando edite un GPO.
88
Opción Efecto
AGPM: especificar servidor AGPM
predeterminado (todos los dominios)
Esta configuración de directiva le permite
especificar un servidor AGPM predeterminado
para todos los dominios. Sólo los clientes
AGPM la usan, ya que restringe la conexión de
los administradores de directiva de grupo con
otro archivo. Puede invalidar esta configuración
predeterminada en el caso de los dominios
individuales mediante la configuración AGPM:
especificar servidores de AGPM.
AGPM: especificar servidores de AGPM Esta configuración de directiva le permite
especificar servidores AGPM para dominios
individuales. Sólo los clientes AGPM la usan,
ya que restringe la conexión de los
administradores de directiva de grupo con un
archivo diferente del dominio específico. Para
especificar un servidor AGPM predeterminado,
utilice la configuración AGPM: especificar
servidor AGPM predeterminado (todos los
dominios) y utilice esta configuración de
directiva para invalidar el valor predeterminado
en función del dominio.
Referencias adicionales
Carpeta Plantillas administrativas
Realización de tareas del administrador de AGPM
Configuración de la visibilidad de características
La configuración de la plantilla administrativa para Administración de directivas de grupos
(AGPM) le permite la configuración central de la visibilidad de la carpeta Control de cambios y
la ficha Historial para los administradores de directiva de grupo a los que se les aplica un Objeto
de directiva de grupo (GPO) con esta configuración.
La siguiente configuración está disponible en Configuración de usuario\Directivas\Plantillas
administrativas\Componentes de Windows\Consola de administración de
Microsoft\Complementos restringidos o permitidos\Complementos de extensión cuando edite un
GPO.
Opción Efecto
AGPM: ficha Mostrar control de cambios Esta configuración de directiva le permite
89
Opción Efecto
controlar la visibilidad de la carpeta Control de
cambios en la Consola de administración de
directiva de grupo (GPMC).
AGPM: mostrar ficha Historial de GPO
enlazados
Esta configuración de directiva le permite
controlar la visibilidad de la ficha Historial que
proporciona AGPM cuando ve un GPO
enlazado en la GPMC.
AGPM: mostrar ficha Historial de GPO Esta configuración de directiva le permite
controlar la visibilidad de la ficha Historial que
proporciona AGPM cuando ve un GPO en la
GPMC.
Referencias adicionales
Carpeta Plantillas administrativas