265 - Windows - Server - 2003 Capitulo - 5

Captulo 5 | Pgina 1 |
Captulo 5 Implementacin, Administracin y Monitoreo de Group Policy

Durante este captulo Usted ir asimilando los conocimientos que necesita para hacer una correcta administracin, diseo e implementacin de Group Policy. Para poder realizar las prcticas de esta unidad es necesario que haya concluido las prcticas de los captulos 2 y 3.
1. Introduccin
Usted utiliza Group Policy en Active Directory para centralizar el mane o de usuarios y computadoras en una empresa. !on"i#urando Group Policy puede centralizar policies para una or#anizaci$n entera% dominio% sitio u or#anizational unit% y asimismo puede descentralizar la con"i#uraci$n de Group Policy% con"i#urndolo para cada departamento en el nivel or#anizational unit. Usted puede ase#urarse que los usuarios ten#an los am&ientes que requieren para realizar sus tra&a os y hacer cumplir las polticas de las or#anizaciones% incluyendo re#las de ne#ocio% metas y requisitos de se#uridad. Adems% puede &a ar el 'otal !ost o" ()nership controlando am&ientes del usuario y de computadora% de modo tal que se reduzca el nivel de ayuda t*cnica a los usuarios y la productividad perdida de los mismos a causa de sus errores. Al terminar este captulo Usted podr: !rear y con"i#urar Group Policy o& ects +GP(s,. !on"i#urar intervalos de actualizaci$n de Group Policy y con"i#uraciones de Group Policy. Administrar GP(s.
1.1. !u" es Group Policy#

Group Policy le otor#a control de administraci$n so&re los usuarios y las computadoras de su red% y por lo tanto le permite de"inir el estado del am&iente de tra&a o de los usuarios una sola vez% con"iando en -icroso"t .indo)s /erver 2003 para hacer cumplir continuamente la con"i#uraci$n de Group Policy que de"ini$. 'am&i*n podr aplicar con"i#uraciones de Group Policy a trav*s de una or#anizaci$n entera o a #rupos espec"icos de usuarios y de computadoras.
))).microso"t.com1latam1technet 2 2003 -icroso"t !orporation. 'odos los derechos reservados. 'erminos de Uso
Captulo 5 | Pgina $ |
Para ms in"ormaci$n acerca de Group Policy3 -icroso"t 4ntelli-irror. Group Policy /ettin#s (vervie).
1.$. !u" son %ser y Computer Con&iguration 'ettings#

Usted puede hacer cumplir los Group Policy /ettin#s para las computadoras y los usuarios usando !omputer !on"i#uration y User !on"i#uration en Group Policy. Group Policy Settin s para usuarios incluye con"i#uraciones espec"icas del sistema operativo% con"i#uraciones de escritorio% con"i#uraciones de se#uridad% opciones de aplicaciones assi#ned y pu&lished% con"i#uraciones de aplicaciones% opciones de "older redirection% y scripts de user lo#on y lo#o"". 5os Group Policy /ettin#s de usuario se aplican cuando los usuarios inician sesi$n en la computadora y durante un ciclo de actualizaci$n peri$dico. Group Policy /ettin#s modi"ica el am&iente de escritorio del usuario para los requisitos particulares o hace cumplir loc6do)n policies en usuarios% y est contenido de&a o de User !on"i uration en el editor de Group Policy (& ect. De#a$o de User !on"iu ration, tam#i%n se encuentran: 5a carpeta /o"t)are /ettin#s3 contiene con"i#uraciones de so"t)are que se aplican a los usuarios sin importar en qu* computadora inicien sesi$n. 7sta carpeta tam&i*n contiene con"i#uraciones que se coloquen all de 4ndependent /o"t)are 8endors +4/8s,. 5a carpeta .indo)s /ettin#s3 contiene con"i#uraci$n .indo)s que se aplica a los usuarios sin importar en qu* computadora inicien sesi$n. 7sta carpeta tam&i*n contiene los si#uientes puntos3 (older )edirection, 'ecurity 'ettings y 'cripts. Group Policy /ettin#s para las computadoras incluye la manera en que el sistema operativo se comporta% el comportamiento de escritorio% con"i#uraciones de se#uridad% scripts de startup y shutdo)n% opciones de aplicaciones assi#ned a la computadora y con"i#uraciones de aplicaciones. 5as Group Policy relacionadas a la computadora% se aplican cuando el sistema operativo se inicializa y durante un ciclo peri$dico de
Captulo 5 | Pgina * |
actualizaci$n. 7n #eneral% las con"i#uraciones de computadora Group Policy toman precedencia al estar en con"licto con Group Policy de usuario. 5as Group Policy /ettin#s que modi"ican el am&iente para requisitos particulares de escritorio y para todos los usuarios de una computadora% o que hacen cumplir las polticas de se#uridad en las computadoras de una red% se contienen de&a o de !omputer !on"i uration en el editor de Group Policy (& ect. De#a$o de !omputer !on"i uration, tam#i%n se encuentran: 5a carpeta /o"t)are /ettin#s3 contiene las con"i#uraciones de so"t)are que se aplican a todos los usuarios que inicien sesi$n en la computadora. 7sta carpeta posee con"i#uraci$n de instalaci$n de so"t)are y puede contener otras con"i#uraciones que se coloquen all de 4/8s. 5a carpeta .indo)s /ettin#s3 contiene con"i#uraciones .indo)s que se aplican a todos los usuarios que inicien sesi$n en la computadora. 7sta carpeta tam&i*n contiene los si#uientes puntos3 'ecurity 'ettings y 'cripts.
Captulo 5 | Pgina + |
Security Settin s est disponi&le de&a o de la carpeta .indo)s /ettin#s que se encuentra de&a o de !omputer !on"i#uration y User !on"i#uration en el editor de Group Policy (& ect. /ecurity /ettin#s o /ecurity Policies son las re#las que Usted con"i#ura en una computadora o las computadoras m9ltiples que prote#en recursos en una computadora o una red. !on /ecurity /ettin#s% Usted puede especi"icar /ecurity Policy de una or#anizational unit% domain o site. Para ms in"ormaci$n so&re e:tender Group Policy% ver los m*todos Avanzados e:tendiendo Group Policy en3 http311))).microso"t.com1technet1treevie)1de"ault.asp;url< 1technet1prodtechnol1)indo)sserver20031proddocs1server1sa#=/Pconcepts=30.asp
1.*. Prctica 1, Con&igurando -ocal Computer Policy 'ettings

Para a re ar Group Policy &#$ect 'ditor a una !ustom((! de#er: >. 2. 3. A&rir una !ustom--!. A#re#ar el snap?in Group Policy (& ect 7ditor. Guardar la !ustom--!. de#er:
Para e)itar que los usuarios apa uen el ser)idor usando *ocal Policy Settin >. 2. 3. A. B.
7:pandir% en la !ustom--!% el snap?in *ocal !omputer Policy. 7:pandir% en la consola% User !on"i uration . 7:pandir Administrati)e +emplates y despu*s hacer clic6 en /tart (enu and +as,#ar. @acer do&le?clic6 en -emo)e and pre)ent access to the Shut Do.n command % del panel de los detalles @acer clic6 en 'na#led del cuadro -emo)e and pre)ent access to the Shut Do.n command Properties% y despu*s hacer clic6 en &/. !errar y #uardar todos los pro#ramas y hacer lo# o"".
Para pro#ar la policy de#er: >. 2. 3. 4niciar sesi$n como User con una contraseCa. @acer !lic6 en Start y veri"icar que el &ot$n Shut Do.n se haya quitado del men9 Start. !errar y #uardar todos los pro#ramas y hacer lo# o"".
1.+. -as .erramientas usadas para crear GP/s

Acti)e Directory Users and !omputers Usted puede a&rir el editor de Group Policy (& ect desde Active Directory Users and !omputers para administrar GP(s para dominios y or#anizational units. 7n el cuadro Properties para un dominio u or#anizational unit% hay una len#Deta Group Policy% con la cual se puede mane ar GP(s para el dominio u or#anizational units. Acti)e Directory Sites and Ser)ices Usted puede a&rir el editor de Group Policy (& ect desde Active Directory /ites and /ervices para mane ar GP(s de sites. 7n el cuadro Properties para el site% hay una len#Deta Group Policy% con la cual se puede mane ar GP(s para el site.
Group Policy (ana ement !onsole 5a Group Policy -ana#ement !onsole es un sistema de inter"ases pro#rama&les para el mane o de Group Policy% as como las --! snap?in que se construyen en estas inter"ases pro#rama&les tam&i*n. 5os componentes de Group Policy -ana#ement% por su parte% consolidan la administraci$n de Group Policy a trav*s de la empresa.
5a Group Policy -ana#ement !onsole com&ina la "uncionalidad de componentes m9ltiples en una sola inter"az de usuario +U4,. 5a U4 se estructura para empare ar la manera en que se utiliza y mane a Group Policy. Asimismo incorpora la "uncionalidad relacionada con Group Policy de las herramientas si#uientes en una sola --! snap?in3 Active Directory Users and !omputers Active Directory /ites and /ervices Eesultant /et o" Policy +E/oP, Group Policy -ana#ement tam&i*n proporciona las si#uientes capacidades e:tendidas que no esta&an disponi&les en herramientas anteriores de Group Policy. !on Group Policy -ana#ement% Usted puede3 @acer Fac6 up y restore de GP(s. !opiar e importar GP(s. Usar "iltros .indo)s -ana#ement 4nstrumentation +.-4,. Generar reportes de GP( y E/oP. F9scar para GP(s. Group Policy (ana ement )s. de"ault Group Policy tools Antes de Group Policy -ana#ement% Usted administra&a Group Policy usando una variedad de herramientas .indo)s% incluyendo Active Directory Users and !omputers% Active Directory /ites and /ervices y E/oP. Pero ahora% Group Policy -ana#ement consolida la administraci$n de todas las tareas &ase de Group Policy en una sola herramienta. Gracias a esta administraci$n consolidada% la "uncionalidad de Group Policy ya no es requerida en las otras herramientas. Despu*s de instalar Group Policy -ana#ement% Usted a9n utiliza cada una de las herramientas de Active Directory para sus prop$sitos previstos de administraci$n de directorio% por e emplo% crear un usuario% computadora y #rupo. /in em&ar#o% usted puede utilizar Group Policy -ana#ement para realizar todas las tareas relacionadas con Group Policy. 5a "uncionalidad de Group Policy ya no estar disponi&le con las herramientas de Active Directory cuando instale Group Policy -ana#ement. Group Policy -ana#ement no sustituye al editor de Group Policy (& ect. Usted todava de&e editar GP(s% usando el editor de Group Policy (& ect. Group Policy -ana#ement inte#ra la "uncionalidad de edici$n proporcionando acceso directo al editor de Group Policy (& ect. 0ota, 5a Group Policy -ana#ement !onsole no viene con .indo)s /erver 2003. %sted de1e descargarlo de, http311))).microso"t.com1)indo)sserver20031#pmc1de"ault.msp:
1.5. Prctica $, Cmo crear una GP/#

Utilice los procedimientos si#uientes para crear un nuevo GP( o un lin6 a una GP( e:istente% usando Active Directory Users and !omputers% y para crear una GP( en un site% dominio u or#anizational unit. Para crear una GP& nue)a o hacer un lin, a una GP& e0istente usando Acti)e Directory Users and !omputers: >. 2. @acer clic6 derecho en el contenedor de Acti)e Directory +dominio u or#anizational unit,% que est en el Active Directory Users and !omputers% para crear una GP(. Despu*s hacer clic6 en Properties. 7le#ir una de las opciones si#uientes% en el cuadro Properties% so&re la len#Deta Group Policy3 Para crear una GP& nue)a% hacer clic6 en Ge)% in#resar un nom&re para la GP( nueva y presionar 7G'7E. Para hacer un lin, a una GP& e0istente % hacer clic6 en Add y seleccionar la GP( de la lista. 5a GP( o el lin6 que usted crea% se e:hi&e en la lista de GP(s que estn lin6eadas al contenedor de Active Directory.
1.2. !u" es un GP/ -in3#
'odas las GP(s se almacenan en un contenedor de Active Directory llamado Group Policy (& ects. !uando una GP( es utilizada por un site% dominio u or#anizational unit% la GP( es lin6eada al contenedor Group Policy (& ects. !onsecuentemente% Usted puede centralizar la administraci$n y el deploy de GP(s a muchos dominios u or#anizational units. !uando Usted crea un GP( lin6 a un site% dominio u or#anizational unit% podr realizar dos operaciones separadas3 crear la GP( nueva y lin6earla al site% dominio u or#anizational unit. Al dele#ar permisos para lin6ear una GP( al dominio% or#anizational unit o site% Usted tendr que modi"icar los permisos para el dominio% or#anizational unit o site que desee dele#ar. Por de"ecto% solamente miem&ros de los #rupos Domain Admins y 7nterprise Admins tienen los permisos necesarios para lin6ear GP(s a domains y or#anizational units. Hnicamente los miem&ros del #rupo 7nterprise Admins tienen los permisos para lin6ear GP(s a sites. -iem&ros del #rupo Group Policy !reator ()ners pueden crear GP(s% pero no pueden lin6ear.
!uando Usted crea una GP( en el contenedor Group Policy (& ects% la GP( no se aplica a nin#9n usuario o computadora hasta que el GP( lin6 sea creado. Usted puede crear una unlin6ed GP( usando Group Policy -ana#ement y tam&i*n puede lle#ar a crear unlin6ed GP(s en una or#anizaci$n #rande% donde un #rupo cree GP(s y otro #rupo cree lin6s de GP(s al site% dominio u or#anizational unit.
1.4. Prctica *, Cmo crear un GP/ -in3#

Para realizar esta prctica de&er instalar previamente GP-!. +8ea el punto A.3 ms adelante, Utilice los procedimientos si#uientes para crear y lin6ear GP(s. Para lin6ear una GP( cuando usted lo crea3 >. 7n la Group Policy -ana#ement de la consola% e:pandir el "orest conteniendo el dominio en el cual Usted desea crear y lin6ear la GP(. 7:pandir Domains y realizar uno de los si#uientes pasos3 Para crear una GP& y lin,earla al dominio % hacer clic6 derecho en el dominio y despu*s hacer clic6 en !reate and 5in6 a GP( @ere. Para crear una GP& y lin,earla a una or ani1ational unit % e:pandir el dominio que contiene la or#anizational unit% hacer clic6 derecho en la or#anizational unit% y despu*s hacer clic6 en !reate and *in, a GP& 2ere. 2. 7n el cuadro 3e. GP&% in#resar el nom&re para la GP( nueva y despu*s hacer clic6 en &/. Para lin6ear una GP( e:istente al site% dominio u or#anizational unit3 >. 2. 3. 7n Group Policy -ana#ement de la consola% e:pandir el "orest conteniendo el dominio en el cual Usted desea lin6ear una GP( e:istente. 7:pandir Domains y el dominio. @acer clic6 derecho en el dominio% site u or#anizational unit. Despu*s hacer clic6 en *in, an '0istin GP&. 7n el cuadro Select GP&% hacer clic6 en la GP( que Usted desea lin6ear y despu*s hacer clic6 en &/.
1.5. Cmo se .eredan permisos de Group Policy en Acti6e 7irectory#

5a orden en la cual .indo)s /erver 2003 aplica GP(s depende del contenedor de Active Directory al cual es lin6eada la GP(. 5as GP(s se aplican primero al site% despu*s a dominios y por 9ltimo a or#anizational units en los dominios. Un contenedor child hereda GP(s del contenedor parent. 7sto si#ni"ica que un contenedor child puede tener muchos Group Policy /ettin#s aplicados a sus usuarios y computadoras% sin tener un GP( lin6eado a *l. /in em&ar#o% no hay erarqua de dominios como en las or#anizational units% por e emplo% las parent or#anizational units y child or#anizational units. 5as GP(s son acumulativas% implicando que estn heredadas. 5a herencia de Group Policy es el orden en el cual .indo)s /erver 2003 aplica GP(s. 7ste orden y la herencia de GP(s determinan% en 9ltima instancia% qu* con"i#uraciones a"ectan a usuarios y computadoras. /i hay GP(s m9ltiples que se "i an en el mismo valor% por de"ecto la GP( que se aplic$ 9ltima% tomar precedencia. Usted puede tam&i*n tener GP(s m9ltiples lin6eadas al los mismos contenedores. Por e emplo% puede tener tres GP(s lin6eadas a un solo dominio. 7l orden en el cual se aplican las GP(s puede a"ectar el resultado de
la con"i#uraci$n de Group Policy. @ay tam&i*n un orden o prioridad de Group Policy y de GP(s para cada contenedor.
1.8. !u" sucede cuando .ay con&licto de GP/s#

5as com&inaciones comple as de GP(s pueden crear con"lictos y consecuentemente requerir modi"icar el comportamiento de la herencia por de"ecto. !uando una con"i#uraci$n de Group Policy se con"i#ura para una or#anizational unit parent y la misma con"i#uraci$n de Group Policy no se con"i#ura para la or#anizational unit child% los o& etos de esta 9ltima heredan la con"i#uraci$n de Group Policy de la or#anizational unit parent. !uando se con"i#ura una Group Policy para am&as% or#anizacional unit parent y or#anizational units child% las con"i#uraciones para estas or#anizational units se aplican. /i las con"i#uraciones son incompati&les% la or#anizational unit child conserva sus propia con"i#uraci$n de Group Policy. Por e emplo% una con"i#uraci$n de Group Policy para la or#anizational unit se aplica por 9ltimo a la computadora o el usuario so&reescri&e la que est en con"licto de con"i#uraci$n de Group Policy para un contenedor% que es de ms alta erarqua en Active Directory. /i el orden de herencia por de"ecto no resuelve las necesidades de su or#anizaci$n% Usted puede modi"icar las re#las de herencia para GP(s espec"icas. .indo)s /erver 2003 proporciona las dos si#uientes opciones para cam&iar el orden de herencia por de"ecto3 3o &)erride 4'n"orced5 7sta opci$n se utiliza para prevenir que contenedores child "iltren GP(s con prioridad ms alta de con"i#uraci$n. 7sta alternativa es 9til para hacer cumplir GP(s que representen re#las de ne#ocio de la or#anizaci$n. 5a opci$n 3o &)erride se "i a so&re una &ase individual de GP(. Usted puede "i ar esta opci$n en una o ms GP(s se#9n lo requiera. !uando se "i a ms de una GP( en 3o &)erride% la GP( ms alta en la erarqua de Active Directory% "i ada en 3o &)erride% tomar precedencia. 6loc, Policy inheritance 7sta opci$n se utiliza en contenedores child para &loquear herencia de todos los contenedores parent. 7s 9til cuando una or#anizational unit requiere una 9nica con"i#uraci$n de Group Policy. 6loc, Policy inheritance se "i a &asndose en el contenedor. 7n caso de con"licto% la opci$n 3o &)erride toma siempre precedencia so&re la opci$n 6loc, Policy inheritance .
1.19. :lo;ueo de 7eployment de GP/

Usted puede prevenir en un contenedor child la herencia de todas las GP(s de los contenedores parent% ha&ilitando 6loc, Policy inheritance en el contenedor child. De esta manera% evita que el contenedor herede todas las con"i#uraciones Group Policy. 7sto es 9til cuando un contenedor de Active Directory requiere con"i#uraciones 9nicas de Group Policy y Usted desea ase#urarse que las con"i#uraciones de Group Policy no se hereden. Por e emplo% se puede utilizar 6loc, Policy inheritance cuando el administrador de una or#anizational unit de&a controlar todas las GP(s para ese container.
Al usar Floc6 Policy inheritance, de#er considerar lo si uiente: Go se puede ele#ir selectivamente qu* GP(s &loquea. 6loc, Policy inheritance a"ecta todas las GP(s de todos los contenedores parent% e:cepto las GP(s con"i#uradas con la opci$n 3o &)erride sin GP-! instalada y 'n"orced con GP-! instalada. 6loc, Policy inheritance no &loquea la herencia de una GP( lin6eada a un contenedor parent% si el lin6 se con"i#ura con la opci$n 3o &)erride.
1.11. Cmo con&igurar Group Policy <n&orcement#
Importante, Antes de instalar Group Policy -ana#ement% la opci$n 'n"orced se llama Go (verride en Active Directory Users and !omputers. Para con"i urar en"orcement de GP& lin, de#er: >. 7n Group Policy -ana#ement de la consola% e:pandir el "orest con el lin6 en el cual Usted desea con"i#urar el en"orcement. 5ue#o% se#uir uno de si#uientes pasos3 Para con"i urar en"orcement de GP& lin, a un dominio % e:pandir Domains y el dominio que contiene el GP( lin6. Para con"i urar en"orcement de GP& lin, a una or ani1ational unit % e:pandir Domains y el dominio que contiene la or#anizational unit. Despu*s e:pandir la or#anizational unit que pueda incluir parent o child or#anizational unit y que conten#a el GP( lin6. Para con"i urar en"orcement de GP& lin, a un site % e:pandir /ites% y lue#o e:pandir el site que contiene el GP( lin6. 2. @acer clic6 derecho en el GP( lin6 y despu*s hacer clic6 en 'n"orced para permitir o inha&ilitar el en"orcement.
Captulo 5 | Pgina 19 | 1.1$. (iltrado de Aplicacin de GP/
Por de"ecto% todos los Group Policy /ettin#s contenidos en las GP(s% a"ectan al contenedor y se aplican a todos los usuarios y computadoras de ese contenedor% el cual no puede producir los resultados que Usted desea. Usando la caracterstica de "iltrado% se puede determinar qu* con"i#uraciones se aplican a los usuarios y a las computadoras en el contenedor espec"ico. Usted puede "iltrar el deployment de GP( "i ando permisos en el GP( 5in6 para determinar el acceso de lectura o ne#ar el permiso en la GP(. Para que los Group Policy /ettin#s se apliquen a una cuenta de usuario o de computadora% la cuenta de&e tener por lo menos el permiso de lectura para una GP( y de aplicaci$n. 5os permisos por de"ecto para una GP( nueva tienen el si#uiente Access !ontrol 7ntries +A!7s,3 Authenticated Users. Permitir read y permitir apply Group Policy Domain Admins% 7nterprise Admins and /I/'7-. Permitir read% Permitir .rite% Permitir !reate All !hild o& ects% Permitir Delete All !hild o& ects Usted puede utili1ar los si uientes m%todos de "iltrado: '0plicitly deny 7ste m*todo se utiliza al ne#ar el acceso a la Group Policy. Por e emplo% Usted podra ne#ar e:plcitamente el permiso al #rupo de se#uridad de los administradores% lo cual prevendra a los administradores en la or#anizational unit de la recepci$n de GP( /ettin#s. -emo)e Authenticated Users Usted puede omitir a los administradores de la or#anizational unit del #rupo de se#uridad% lo cual si#ni"ica que no tienen nin#9n permiso e:plcito para la GP(. Para ms in"ormaci$n acerca de Group Policy3 http311support.microso"t.com1de"ault.asp:;scid<6&Jen?usJ32AKA3 http311microso"t.com1do)nloads1details.asp:; Lamily4d<D2M7NNF!?DAAB?A7NL?AAA7?FO!2K0M>LK!APdisplaylan#<en http311))).microso"t.com1technet1treevie)1de"ault.asp;url<1technet1 prodtechnol1)indo)sserver20031mana#ement1#p1de"ault.asp
Captulo 5 | Pgina 11 | $. Administracin del entorno de usuario

5a administraci$n del entorno de usuario implica controlar lo que *stos pueden hacer cuando inician sesi$n en la red. 7sto se hace a trav*s de Group Policy% controlando las computadoras de escritorio% las cone:iones de red y las inter"aces de usuario. Usted mane a los am&ientes de usuario para ase#urarse que los mismos ten#an lo necesario para realizar sus tra&a os. De esta manera% no podrn corromper o con"i#urar incorrectamente sus am&ientes. !uando Usted con"i ura y mane$a am#ientes de usuario de "orma centrali1ada, puede reali1ar las si uientes tareas: (ane$ar los usuarios y las computadoras. 7sto es posi&le controlando la con"i#uraci$n de escritorio del usuario con policies &asadas en re#istry. As% Usted se ase#ura que los usuarios ten#an los mismos am&ientes% incluso si ellos inician sesi$n de diversas computadoras. Asimismo% Usted puede controlar c$mo -icroso"t .indo)s /erver 2003 mane a el user pro"iles% el cual conoce la "orma en que los datos personales de un usuario estn disponi&les. !on redirectin# user "olders de los discos duros locales del usuario a una localizaci$n central en un servidor% Usted puede ase#urarse que los datos del usuario est*n disponi&les para ellos% sin importar la computadora desde la cual inicien sesi$n. Deploy so"t.are. 7l so"t)are se instala en las computadoras o en los usuarios con servicio de directorio Active Directory. !on la instalaci$n del so"t)are% Usted puede ase#urarse que los usuarios ten#an sus pro#ramas requeridos% service pac6s% y hot"i:es.
$.1. !u" son los Group Policy 'ettings <na1le o 7isa1le#
/i Usted inha&ilita un policy settin#% est inha&ilitando la acci$n del policy settin#. Por e emplo% los usuarios por de"ecto pueden tener acceso al !ontrol Panel. Para ello% Usted no necesita inha&ilitar el policy settin# Prohi#it access to the !ontrol Panel % a menos que previamente haya aplicado un policy settin# ha&ilitndolo. 7n esta situaci$n% Usted ha&r "i ado otro policy settin# para desha&ilitar el aplicado previamente. 7sto es provechoso cuando se heredan policy settin#s y no se desea usar "iltrado para aplicar policy settin#s a un #rupo y a otro no. Usted puede aplicar una GP( que permita un policy settin# en la parent or#anizational unit y otro policy settin# que desha&ilite la GP( en la child or#anizational unit. /i Usted permite un policy settin#% estar consintiendo la acci$n del policy settin#. Por e emplo% para revocar a al#uien acceso al !ontrol Panel% Usted puede ha&ilitar el policy settin# Prohi#it access to the !ontrol Panel.
Captulo 5 | Pgina 1$ |
Un GP( lleva a ca&o los valores que cam&ian re#istry para los usuarios y las computadoras que estn con"ormes al GP(. 5a con"i#uraci$n por de"ecto para un policy settin# es 3ot !on"i ured. /i Usted desea "i ar a una computadora o a un usuario un policy settin#% de nuevo al valor pre"i ado o de nuevo a la local policy% de&er seleccionar la opci$n 3ot !on"i ured. Por e emplo% Usted puede permitir un policy settin# para al#unos clientes% y al usar la opci$n Got !on"i#ured% la policy invertir a la policy por de"ecto% o local policy settin#. Al#unas GP(s requieren proporcionar una cierta in"ormaci$n adicional despu*s de permitir el o& eto. !iertas veces Usted puede necesitar seleccionar un #rupo o una computadora si el policy settin# necesita volver a diri#ir al usuario a una cierta in"ormaci$n. (tras veces% por e emplo%para permitir pro:y settin#s% Usted de&er proporcionar el nom&re o la direcci$n 4nternet Protocol +4P, del pro:y server y el n9mero de puerto. /i el policy settin# es multi?valued y los settin#s estn en con"licto con otro policy settin#% el con"licto de multi?valued settin#s se su&stituyen por el 9ltimo policy settin# que "ue aplicado.
$.$. Prctica +, Cmo editar un Group Policy 'etting#

!omo administrador de sistemas% Usted de&e editar Group Policy settin#s. Utilice el si#uiente procedimiento para realizar esta tarea. >. 2. 3. A. 7n Group Policy -ana#ement de la consola% nave#ar los Group Policy &#$ects. @acer clic6 derecho en la GP( y despu*s en 'dit. 7n el editor de Group Policy (& ect% &uscar el Group Policy settin# que se desear editar% y despu*s hacer do&le?clic6. 7n el cuadro Properties% con"i#urar el Group Policy settin# y despu*s hacer clic6 en &/.
$.*. !u" son los scripts de Group Policy 'ettings#

Usted puede utilizar los scripts de Group Policy para con"i#urar scripts centralizados que corran automticamente cuando la computadora se inicia y se apa#a% y tam&i*n cuando los usuarios inician sesi$n y la cierran. Usted puede especi"icar cualquier script que corra en .indo)s /erver 2003% incluyendo archivos &atch% pro#ramas e ecuta&les y scripts soportados por .indo)s /cript @ost +./@,. Para ayudar al usuario a mane$ar y con"i urar sus am#ientes, de#er: !orrer scripts que realicen las tareas que Usted no puede realizar con otros Group Policy settin#s. Por e emplo% con"i#urar el entorno de usuario con cone:iones de red% cone:iones de impresora% shortcuts a aplicaciones y documentos corporativos. 5impiar los escritorios cuando los usuarios cierran la sesi$n y apa#an la computadora. Usted puede quitar las cone:iones que a#re#$ con los scripts de lo#on o startup% de modo que la computadora est* en el mismo estado que cuando el usuario la encendi$. !orrer scripts pre?e:istentes% "i ados para mane ar los am&ientes de usuario hasta que se con"i#ure con otro Group Policy settin#s que remplace esos scripts 0ota, Desde Active Directory Users and !omputers% Usted puede asi#nar scripts de lo#on individualmente a las cuentas del usuario en el cuadro Properties de cada uno de ellos. /in em&ar#o% Group Policy es el m*todo pre"erido para correr scripts porque se pueden mane ar estos scripts centralizados unto con startup% shutdo)n% y lo#o"" scripts. Para ms in"ormaci$n acerca de scriptin#% vea 'echGet /cript !enter en3 http311))).microso"t.com1technet1treevie)1de"ault.asp;url<1technet1scriptcenter1de"ault.asp
Captulo 5 | Pgina 1* | $.+. Prctica 5, Cmo asignar 'cripts con Group Policy#
Para implementar script Usted utiliza Group Policy% a#re#ndolo a la con"i#uraci$n apropiada en un Group Policy template. 7sto indica que el script puede correr durante el startup% shutdo)n% lo#on o lo#o"". Para a re ar un script a la GP& de#er: >. 2. 3. A. B. 7n Group Policy -ana#ement% editar la GP(. 7n el editor de Group Policy (& ect de la consola% &uscar User !on"i#uration1.indo)s /ettin#s1/cripts +5o#on15o#o"",. 7n el panel de detalles% hacer do&le?clic6 en *o on. 7n el cuadro *o on Properties% hacer clic6 en Add. 7n el cuadro Add a Script% con"i#urar cualquiera de las con"i#uraciones si#uientes que se desee utilizar. Despu*s% hacer clic6 en &/3 Script 3ame. 4n#resar el path del script o hacer clic6 en 6ro.se para localizar el archivo de script en la carpeta compartida Getlo#on del Domain controller. Script Parameters. 4n#resar los parmetros que se desean utilizar% de la misma manera que se in#resara en command line. 7n el cuadro *o on Properties% con"i#urar cualquiera de las si#uientes con"i#uraciones que se deseen utilizar3 *o on Scripts "or. 7sta lista enumera todas los scripts que estn actualmente asi#nados a la GP( seleccionada. /i se asi#nan m9ltiples scripts% *stos sern procesados en el orden que se especi"ic$. Para mover el script en la lista% hacer clic6 en el script y despu*s Up o Do.n.
M.
$.5. !u" es (older )edirection#

!uando Usted redirecciona "olders% cam&ia la locaci$n de las carpetas del disco duro local de la computadora del usuario% a una carpeta compartida en un servidor de la red. Despu*s de redireccionar una carpeta a un servidor% *sta se#uir apareciendo como local para el usuario. !uatro son las carpetas que "orman parte del user pro"ile y que se pueden redireccionar3 -y Documents% Application Data% Des6top y /tart -enu. Almacenando datos en la red, los #ene"icios de los usuarios son la disponi#ilidad creciente y los #ac,up "recuentes de sus datos. -edireccionar carpetas tiene los si uientes #ene"icios: 5os datos en las carpetas estn disponi&les para el usuario% sin importar la computadora cliente desde la que el usuario inicie sesi$n. 5os datos en las carpetas se almacenan centralizados% y por esto es ms "cil la administraci$n y el &ac6up para su res#uardo. 5os archivos que se localizan adentro roamin# user pro"ile% no se copian y no se 7sto si#ni"ica que cuando el usuario inicia de almacenamiento para esos archivos y dicha computadora. de carpetas redireccionadas% como los archivos de un #uardan en la computadora del usuario que inicia sesi$n. sesi$n en la computadora cliente% no se utilizar espacio los datos que puedan ser con"idenciales no quedan en
5os datos se almacenan en una carpeta compartida de red que puede ser parte de las reas rutinarias de &ac6up. 7sto es ms se#uro porque no requiere nin#una acci$n de parte del usuario. !omo administrador% Usted puede utilizar Group Policy para con"i#urar dis6 quotas% limitando la cantidad de espacio que es tomado por los usuarios.
Captulo 5 | Pgina 1+ |
$.2. Carpetas ;ue pueden ser redireccionadas

Usted puede redireccionar las carpetas -y Documents% Application Data% Des6top y /tart -enu. Una or#anizaci$n puede redireccionar estas carpetas para preservar datos y con"i#uraciones importantes del usuario. @ay varias venta as al redireccionar cada una de estas carpetas% que varan se#9n las necesidades de la or#anizaci$n. Usted puede utili1ar redireccin para cualquiera de las si uientes carpetas en el user pro"ile: (y Documents 5a redirecci$n de -y Documents es particularmente venta osa porque la carpeta tiende a a#randarse con el tiempo. 5a tecnolo#a (""line Liles da el acceso a usuarios a -y Documents% incluso cuando los usuarios no estn conectados a la red. 7sto es particularmente 9til para #ente que utiliza las computadoras porttiles. Application Data 5os Group Policy settin# controlan el comportamiento de los Application Data cuando el cachin# del lado del cliente est ha&ilitado. 7sta con"i#uraci$n sincroniza los datos de aplicaciones centralizados en un servidor de la red con la computadora local. !onsecuentemente% el usuario puede tra&a ar en lnea o "uera de lnea. /i al#unos cam&ios se realizan a los datos de aplicaci$n% la sincronizaci$n actualiza los datos del aplicativo so&re el cliente y el servidor. Des,top Usted puede redireccionar el escritorio y todos los archivos% shortcuts y carpetas a un servidor centralizado. Start (enu !uando se redirecciona el /tart -enu% sus su&"olders tam&i*n se redireccionan.
$.4. Con&iguraciones re;ueridas para con&igurar (older )edirection

@ay tres con"i#uraciones disponi&les para Lolder Eedirection3 none% &asic y advanced. Fasic Lolder Eedirection es para los usuarios que de&en rediri#ir sus carpetas a un rea com9n o para los usuarios que necesitan que sus datos sean privados. Usted tiene las si uientes opciones #sicas para 7older -edirection: -edirect "older to the "ollo.in location 'odos los usuarios redireccionan sus carpetas a un rea com9n donde pueden ver o utilizar otros datos en carpetas redirecionadas. Para hacer esto% eli a la con"i#uraci$n 6asic y con"i#ure la +ar et "older location to -edirect "older to the "ollo.in location. 7s aconse a&le utilizar esta opci$n para todas las carpetas que conten#an los datos que no son privados. !reate a "older "or each user under the root path Para los usuarios que necesitan sus carpetas redireccionadas con datos privados% eli a con"i#uraci$n 6asic y con"i#ure +ar et "older location to !reate a "older "or each user under the root path. 7s aconse a&le utilizar esta opci$n para los usuarios que necesitan sus datos privados% como los #erentes que #uardan datos personales so&re empleados. !uando Usted selecciona Ad)anced . speci"y locations "or )arious user roups% las carpetas son redireccionadas a di"erentes locaciones% &asadas en #rupos de se#uridad de los usuarios.
*as opciones a)an1adas para 7older -edirection son las si uientes: Select a roup4s5. Aqu es donde se especi"ica a qui*n aplicar la redirecci$n. +ar et 7older *ocation. Aqu se pueden ele#ir cualquiera de las si#uientes opciones3 !reate a "older "or each user under the root path. Utilizar para los datos con"idenciales. -edirect to the "ollo.in location. Utilizar para los datos compartidos. -edirect to the local userpro"ile location. Utilizar para los usuarios que utilizan una mezcla de computadoras cliente que no son parte de Active Directory por un lado y s lo son por otro. -oot Path. 7n este cuadro% se especi"ica el servidor y el nom&re de la carpeta compartida a la que se desear redireccionar.
$.5. Prctica 2, Cmo con&igurar (older )edirection#

Usted con"i#ura Lolder Eedirection usando el editor de Group Policy (& ect. Para con"i urar 7older -edirection de#er: >. 2. 3. A. 7n Group Policy -ana#ement% editar o crear la GP(. 7n el editor de Group Policy (& ect de la consola% e:pandir User !on"i uration% e:pandir 8indo.s Settin s% y despu*s e:pandir 7older -edirection. 5os conos para las cuatro carpetas que pueden ser redireccionadas se muestran. @acer clic6 derecho en la carpeta que se desea redireccionar y despu*s hacer clic6 en Properties. 7n el cuadro Properties% de la len#Deta Settin % hacer clic6 en una de las si#uientes opciones3 6asic 9 -edirect e)eryone:s "older to the same net.or, share point. 'odas las carpetas a"ectadas por esta GP( se almacenan en la misma carpeta compartida de red. Ad)anced 9 -edirect personal "olders #ased on the user:s mem#ership in a 8indo.s Ser)er ;<<= security roup. 5as carpetas se redireccionan a otras compartidas de la red y &asadas en los miem&ros de #rupos de se#uridad. Por e emplo% carpetas que pertenecen a los usuarios del #rupo de conta&ilidad se redireccionan al servidor de conta&ilidad% y las carpetas que pertenecen a los usuarios en el #rupo de comercializaci$n se redireccionan al servidor de comercializaci$n. 7n el cuadro Properties% hacer !lic6 en Add. Fa o +ar et "older location% en el cuadro -oot path% in#resar el nom&re de la carpeta compartida en la red a utilizar% o hacer clic6 en 6ro.se para localizarla. 7n la len#Deta Settin s% con"i#urar las opciones que se desean utilizar y despu*s hacer clic6 en &/.
B. M. K.
$.8. !u" es Gpupdate#
Gpupdate es una herramienta command?line que actualiza los local Group Policy settin#s y Group Policy settin#s almacenados en Active Directory% incluidas las con"i#uraciones de se#uridad. Por de"ecto% las con"i#uraciones de se#uridad se actualizan cada O0 minutos en un puesto de tra&a o o un servidor% y cada cinco minutos en un Domain !ontroller. Usted puede correr #pupdate para pro&ar una Group Policy settin# o aplicar inmediatamente un Group Policy settin#
*os e$emplos si uientes demuestran cmo Usted puede utili1ar el comando !:> !:> !:> !:> pupdate pupdate ?tar et:computer pupdate ?"orce ?.ait:@<< pupdate ?#oot
pupdate:
Gpupdate tiene los siguientes parmetros. ?+ar et:A!omputer B UserC 7speci"ica la actualizaci$n solamente de usuario o computadora para sus policy settin#s. Por de"ecto% la policy de usuario y computadora son actualizadas. ?7orce Eeaplica todos los policy settin#s. Por de"ecto% solamente los policy settin#s que han cam&iado se reaplican. ?8ait:ADalueC Li a el n9mero de se#undos para esperar el procesamiento de policy. Por de"ecto% es de M00 se#undos. 7l valor Q 0 Q si#ni"ica no esperar. 7l valor Q ? > Q si#ni"ica esperar inde"inidamente. ?*o o"" !ausa un lo#o"" despu*s de actualizar la con"i#uraci$n de Group Policy settin#s. ?6oot Provoca que la computadora se reinicie despu*s de la actualizaci$n de Group Policy settin#s. ?Sync Provoca que la pr$:ima con"i#uraci$n de policy settin# se aplique sincr$nicamente.
$.19. !u" es Gpresult#
De&ido a que Usted puede aplicar niveles traslapados de policy settin#s a cualquier computadora o usuario% Group Policy #enera un reporte que resulta de aplicar policies al lo#on. Gpresult e:hi&e el reporte que resulta de aplicar policies que se hacen cumplir en la computadora para el usuario especi"icado al lo#on. 7l comando presult e:hi&e los Group Policy settin#s y el Eesultant /et o" Policy +E/oP, para un usuario o una computadora. Usted puede utilizar presult para ver qu* con"i#uraciones de la GP( son e"ectivas y localizar pro&lemas en la aplicaci$n. *os e$emplos si uientes demuestran cmo se puede utili1ar el comando !:> !:> !:> !:> presult presult presult presult presult:
?user tar etusername ?scope computer ?s sr)main ?u maindom?hiropln ?p pEss8;= ?user tar etusername ?scope US'?s sr)main ?u maindom?hiropln ?p pEss8;= ?user tar etusername ?1 Fpolicy.t0t ?s sr)main ?u maindom?hiropln ?p pEss8;=
Gpresult tiene los siguientes parmetros. ?s !omputer 7speci"ica el nom&re o direcci$n 4P de una computadora remota. Por de"ecto es la computadora local. ?u Domain>User 7l comando "unciona con los permisos de la cuenta del usuario que se especi"ica User o Domain1User. 7l de"ecto son los permisos del usuario que se encuentre autenticado en la computadora y que e ecute el comando. ?p Pass.ord 7speci"ica el pass)ord de la cuenta del usuario que se especi"ica en el parmetro 1u.
?user +ar etUser3ame 7speci"ica el nom&re del usuario del que se e:hi&en los datos E/oP. ?scope AuserBcomputerC 7:hi&e los policy settin#s del usuario o computadora. 5os valores vlidos para el parmetro 1scope son user o computer. /i se omite el parmetro 1scope% #presult e:hi&e a am&os% usuario y computadora. ?) 7speci"ica que la salida e:hi&ir in"ormaci$n ver&ose de la policy. ?1 7speci"ica que la salida e:hi&ir toda la in"ormaci$n disponi&le acerca de Group Policy. Dado que este parmetro produce ms in"ormaci$n que el parametro 1v% se de&e redireccionar la salida a un archivo de te:to cuando se utilice este parmetro +por e emplo% s puede escri&ir presult ?1 Fpolicy.t0t,. ?G 7:hi&e la ayuda en la ventana de comandos.
*. Administracin de instalacin de 'o&t=are

-icroso"t .indo)s /erver 2003 incluye una caracterstica llamada 4nstalaci$n y mantenimiento de so"t)are que utiliza el servicio de Active Directory% Group Policy y -icroso"t .indo)s 4nstaller para instalar% mantener y quitar so"t)are en las computadoras en su or#anizaci$n. Usando el m*todo de administraci$n e instalaci$n de so"t)are &asado en policy% Usted puede ase#urarse que los pro#ramas que los usuarios requirieran para realizar sus tra&a os% est*n disponi&les siempre y donde sea necesario.
*.1. -a instalacin del 'o&t=are y el proceso de mantenimiento
7n .indo)s /erver 2003% Usted puede utilizar Group Policy para mane ar el proceso de instalaci$n de so"t)are centralizado a partir de una localizaci$n. Adems% Group Policy settin#s puede aplicarse a los usuarios o computadoras en un site% dominio u or#anizational unit para instalar automticamente% actualizar o quitar so"t)are. Aplicando Group Policy settin#s al so"t)are% Usted puede mane ar varias "ases de la instalaci$n del so"t)are sin instalar so"t)are en cada computadora individualmente. *a lista si uiente descri#e cada "ase en la instalacin del so"t.are y proceso de mantenimiento: >. Preparation. Primero hay que instalar el so"t)are usando la estructura corriente de Group Policy o& ect +GP(,% y tam&i*n identi"icar los ries#os al usar la in"raestructura actual para instalar so"t)are. Para preparar los archivos que permitan a un pro#rama ser instalado con Group Policy% Usted de&e copiar los archivos .indo)s 4nstaller pac6a#e para un pro#rama a un so"t)are distri&ution point% el cual puede ser una carpeta compartida en un servidor. Asimismo puede adquirir el archivo .indo)s 4nstaller pac6a#e del vendedor del pro#rama o crear el archivo pac6a#e usando una utilidad de terceras partes. 2. Deployment. Aqu hay que crear una GP( que instala el so"t)are en la computadora y lin6ea la GP( a un contenedor apropiado de Active Directory. 7l so"t)are estar instalado cuando la computadora se encienda o cuando un usuario inicie el pro#rama. 3. (aintenance. 7l so"t)are se actualiza con una nueva versi$n o reinstalando el so"t)are con un service pac6 o un so"t)are update. De esta maner% estar automticamente actualizado o reinstalado cuando la computadora se encienda o cuando el usuario inicie el pro#rama. A. -emo)al. Para eliminar el so"t)are que no es requerido% se necesita quitar el so"t)are pac6a#e settin# de la GP( que ori#inalmente instal$ el so"t)are. 7l so"t)are entonces se quitar automticamente cuando la computadora se encienda o cuando un usuario inicie sesion.
Captulo 5 | Pgina 18 | *.$. !u" es >indo=s Installer#

Para ha&ilitar Group Policy para instalaci$n y administraci$n de so"t)are% .indo)s /erver 2003 usa .indo)s 4nstaller. 7ste componente automatiza la instalaci$n y el retiro de pro#ramas% aplicando un sistema de re#las centralmente de"inidas durante el proceso de la instalaci$n. 8indo.s Hnstaller contiene dos componentes: 8indo.s Hnstaller ser)ice. 7ste servicio del lado del cliente automatiza completamente la instalaci$n del so"t)are y proceso de la con"i#uraci$n. 7l servicio .indo)s 4nstaller puede tam&i*n modi"icar o reparar un pro#rama instalado e:istente. Para instalar un pro#rama lo hace directamente del !d?E(- o usando Group Policy. Para ello% el servicio .indo)s 4nstaller requiere un .indo)s 4nstaller pac6a#e. 8indo.s Hnstaller pac,a e. 7ste archivo pac6a#e contiene toda la in"ormaci$n que el .indo)s 4nstaller service requiere para instalar o quitar so"t)are. 7l Archivo contiene3 7s un archivo .indo)s 4nstaller con e:tenci$n .msi. Archivos "uente e:ternos% que son requeridos para instalar o quitar el so"t)are. 4n"ormaci$n estndar so&re el so"t)are y el pac6a#e. Archivos del producto o una re"erencia a un punto de instalaci$n donde residen los archivos del producto. *as )enta$as de usar tecnolo ia 8indo.s Hnstaller incluye: !ustom installations. !aractersticas opcionales de un aplicativo. Por e emplo% clip art o un diccionario% puede ser visi&le en un pro#rama sin que la caracterstica sea instalada. Aunque los comandos de men9 son accesi&les% la caracterstica no est instalada hasta que el usuario acceda al men9 de comandos. 7ste m*todo de instalaci$n ayuda a reducir la comple idad y la cantidad de espacio de disco duro que el pro#rama utiliza. -esilient applications. /i un archivo crtico se &orra o se corrompe% el pro#rama adquiere automticamente una nueva copia del archivo de la "uente de la instalaci$n% sin requerir la intervenci$n del usuario. !lean remo)al. .indo)s 4nstaller quita aplicaciones sin de ar archivos hu*r"anos o inadvertidamente romper otro aplicativo% por e emplo% cuando un usuario &orra un archivo compartido que otro aplicativo requiera. 'am&i*n% .indo)s 4nstaller quita todas las con"i#uraciones de re#istry relacionadas y almacena las transacciones de instalaci$n en una &ase de datos y archivos de lo# su&secuentes.
Captulo 5 | Pgina $9 |
*.*. 7escripcin del proceso de 'o&t=are 7eployment
!uando Usted instala so"t)are% est especi"icando c$mo se instalan los aplicativos y c$mo se mantienen los mismos en su or#anizaci$n. Para instalar nue)o So"t.are, utili1ando Group Policy, de#er: >. 2. !rear un so"t.are distri#ution point. 7sta carpeta compartida en su servidor contiene el pac6a#e y los archivos del so"t)are para instalar. !uando el so"t)are se instala en una computadora local% el .indo)s 4nstaller copia archivos a la computadora. Utili1ar la GP& para instalar so"t.are. Usted de&e crear o realizar cam&ios necesarios a la GP( para el contenedor en donde desea instalar el aplicativo. Al mismo tiempo puede con"i#urar la GP( para instalar so"t)are para una cuenta de usuario o de computadora. 7sta tarea tam&i*n incluye seleccionar el tipo de instalaci$n que se requiere. Cam1iar las caractersticas de la instalacin del so&t=are. Dependiendo de sus requisitos% Usted puede cam&iar las caractersticas que "ueron "i adas durante la instalaci$n inicial del so"t)are.
3.
*.+. Assigning 'o&t=are 6s. Pu1lis.ing 'o&t=are
-os dos tipos de instalacin son, asi#nar so"t)are y pu&licar so"t)are. Usando la asi#naci$n de so"t)are% Usted se ase#ura que el so"t)are est* siempre disponi&le para el usuario. !uando *ste inicie sesi$n% aparecern Start menu shortcuts y des6top icons para el aplicativo. Por e emplo% si el usuario a&re un archivo que utiliza -icroso"t 7:cel en una computadora que no tiene 7:cel% pero 7:cel ha sido asi#nado al usuario% .indo)s 4nstaller instala 7:cel en la computadora cuando el usuario a&re archivo. Adems% el asi#nar so"t)are hace al so"t)are resilient. /i por cualquier raz$n el usuario quita el so"t)are% .indo)s 4nstaller lo reinstalar la pr$:ima vez que el usuario inicie sesi$n e inicie el aplicativo. Usando la pu&licaci$n de so"t)are% Usted se ase#ura que el so"t)are est* disponi&le para que los usuarios lo instalen en sus computadoras. .indo)s 4nstaller no a#re#a shortcuts en el escritorio del usuario o en el Start menu% y no realiza entradas en re#istry local. Dado que los usuarios deciden instalar el pu&lished so"t)are% Usted puede pu&licar so"t)are solamente a los usuarios y no a las computadoras. Usted puede asi nar y pu#licar so"t.are usando uno de los m%todos de la ta#la si uiente:
M"todo de M"todo 1 instalacin !on"i#urando al usuario. !uando Usted asi#ne so"t)are a un usuario% el so"t)are se anunciar en el escritorio del mismo cuando inicie sesi$n. 5a instalaci$n no comenzar hasta que el usuario ha#a do&le?clic6 al inicio de la aplicaci$n o a un archivo asociado con la aplicaci$n. 7ste es un m*todo llamado activaci$n de documento. /i el usuario no activa el aplicativo% el so"t)are no es instalado. De esta "orma% se ahorra espacio en el disco duro y tiempo. Usando Add or Eemove Pro#rams. Un usuario puede a&rir el !ontrol Panel y hacer do&le?clic6 en Add or Eemove Pro#rams para e:hi&ir los aplicativos disponi&les. 7l usuario puede seleccionar un aplicativo y entonces hacer clic6 en Add.
M"todo $ !on"i#urando la computadora. !uando Usted asi#ne so"t)are a una computadora% nin#un aviso ocurrir. 7n su lu#ar% el so"t)are se instalar automticamente cuando la computadora se encienda. Asi#nando so"t)are a una computadora Usted se ase#ura que ciertos aplicativos est*n siempre disponi&les en esa computadora% sin importar qui*n la utiliza. Usted no puede asi#nar so"t)are a una computadora que sea domain controller.
Asi#naci$n
Pu&licaci$n
Usando la activaci$n de documentos. /i usted pu&lica un aplicativo en Active Directory las e:tenciones de nom&re de archivo de los documentos soportados por la aplicaci$n sern asociadas en el directorio.
*.5. Prctica 4, Cmo utili?ar una GP/ para instalar 'o&t=are#

Despu*s de crear un so"t)are distri&ution point% Usted de&er crear una GP( que instale esos aplicativos% y despu*s lin6ear la GP( al contenedor que conten#a los usuarios o computadoras en donde desee instalar el so"t)are. Importante, Go asi#nar ni pu&licar un .indo)s 4nstaller pac6a#e ms de una vez en la misma GP(. Por e emplo% si Usted asi#na -icroso"t (""ice RP a computadoras que son a"ectadas por una GP(% no de&er asi#nar ni pu&licar a los usuarios a"ectados por la misma GP(. Para utili1ar una GP& para instalar so"t.are, tendr que reali1ar los si uientes pasos: >. 2. !rear o editar la GP(. Fa o User !on"i uration o !omputer !on"i uration +dependiendo si Usted est asi#nando el so"t)are a los usuarios o a las computadoras o pu&licndolo a los usuarios,% e:pandir So"t.are Settin s% hacer clic6 derecho en So"t.are Hnstallation% marcar 3e.% y despu*s hacer clic6 en Pac,a e.
Captulo 5 | Pgina $$ |
3. A. 7n el cuadro 7ile &pen% hacer &ro)se al so"t)are distri&ution point% usando el nom&re Universal Gamin# !onvention +UG!,. Por e emplo% @@'er6er0ame@'.are0ame% seleccionar el archivo pac6a#e y despu*s hacer clic6 en &pen. 7n el cuadro Deploy So"t.are% seleccionar el m*todo de instalaci$n y despu*s hacer clic6 en &/.
*.2. Prctica 5, Cmo cam1iar las opciones para la instalacin de 'o&t=are#

Un GP( puede contener varias con"i#uraciones que a"ecten c$mo un aplicativo es instalado% mane ado y quitado. Usted puede de"inir las con"i#uraciones por de"ecto #lo&al para los nuevos pac6a#es en la GP(% tam&i*n puede cam&iar al#unas de estas con"i#uraciones ms adelante% editando las propiedades del pac6a#e en la e:tensi$n de la instalaci$n de so"t)are. Despu*s de instalar un so"t)are pac6a#e% reci*n podr cam&iar las caractersticas de la instalaci$n que "ueron "i adas durante la instalaci$n inicial del so"t)are. Por e emplo% Usted puede prevenir a usuarios la instalaci$n del so"t)are pac6a#e usando la activaci$n de documento. Para con"i urar las opciones implcitas para la instalacin del so"t.are, de#er reali1ar los si uientes pasos: >. 2. 3. !rear o editar la GP(. Fa o User !on"i uration o !omputer !on"i uration% e:pandir So"t.are Settin s% hacer clic6 derecho en So"t.are Hnstallation y despu*s en Properties. 7n la len#Deta General% con"i#urar las opciones si#uientes de la instalaci$n de so"t)are3 De"ault pac,a e location 8hen addin ne. pac,a es to user settin s Hnstallation user inter"ace options 7n la len#Deta Ad)anced% seleccionar la opci$n Uninstall the application .hen they "all out o" the scope o" mana ement.
A.
Para cam#iar las caractersticas de la instalacin de so"t.are, de#er: >. 2. 7n /o"t)are 4nstallation% hacer clic6 derecho en el pac6a#e instalado% y despu*s hacer clic6 en Properties. 7n el cuadro Properties de la len#Deta Deployment% cam&iar las si#uientes opciones3 Deployment type Deployment options Hnstallation user inter"ace options
Captulo 5 | Pgina $* |
*.4. !u" es la modi&icacin de 'o&t=are#
5as modi"icaciones se asocian a un .indo)s 4nstaller pac6a#e en la instalaci$n anterior que utilice ese .indo)s 4nstaller pac6a#e para instalar o modi"icar el aplicativo. 4nstalar varias con"i#uraciones de un aplicativo% permite a diversos #rupos en su or#anizaci$n utilizar un paquete de so"t)are de diversas maneras. Usted puede utilizar modi"icaciones de so"t)are o archivos .mst +tam&i*n llamado archi)os de trans"ormacin , para instalar varias con"i#uraciones de un aplicativo. Un archivo .mst es un custom so"t)are pac6a#e que modi"ica c$mo .indo)s 4nstaller instala el .msi pac6a#e asociado. .indo)s 4nstaller aplica modi"icaciones a pac6a#es en el orden que Usted especi"ique. Para #uardar modi"icaciones en un archivo .mst% de&er correr el custom installation )izard y ele#ir el archivo .msi en el cual desea &asar la trans"ormaci$n. Usted de&er determinar el orden en el cual aplicar las trans"ormaciones a los archivos antes de asi#nar o pu&licar el aplicativo. <Aemplo, Una or#anizaci$n #rande% por e emplo% puede querer instalar -icroso"t (""ice RP% pero los requisitos por departamento para el (""ice suite varian e:tensamente en la or#anizaci$n. 7n lu#ar de con"i#urar manualmente cada uno de los departamentos% Usted puede utilizar di"erentes GP(s y archivos .mst en com&inaci$n con los archivos .msi por de"ecto% para que cada departamento instale varias con"i#uraciones de (""ice RP. 7n este e emplo% Usted puede correr el (""ice RP custom installation )izard del (""ice Eesource Sit para crear el archivo de trans"ormaci$n.
Captulo 5 | Pgina $+ |
*.5. Bipos de actuali?acin de 'o&t=are
5as tareas en una or#anizaci$n son dinmicas y variadas. Usted puede utilizar Group Policy para instalar y administrar so"t)are up#rades que cumplan con requisitos departamentales en su or#anizaci$n. 5as actualizaciones implican tpicamente cam&ios importantes al so"t)are y tienen nuevos n9meros de versi$n. Generalmente% un n9mero su&stancial de archivos cam&ia para una actualizaci$n. Darios acontecimientos en el ciclo de )ida de un aplicati)o pueden accionar la necesidad de una actuali1acin, incluyendo lo si uiente: Una nueva versi$n del so"t)are se lanza y contiene nuevas y me oradas caractersticas. Parches y se#uridad o realces "uncionales se han hecho al so"t)are desde el lanzamiento pasado. Una or#anizaci$n decide utilizar un so"t)are de diversos vendedores. 2ay tres tipos de actuali1aciones: (andatory up rades. 7stas actualizaciones su&stituyen automticamente una vie a versi$n del so"t)are con la nueva version. Por e emplo% si los usuarios utilizan actualmente la versi$n del pro#rama >.0% se quita esta versi$n% y la versi$n del pro#rama 2.0 se instala la pr$:ima vez que la computadora se encienda o el usuario inicie sesi$n. &ptional up rades. 7stas actualizaciones permiten que los usuarios decidan cundo actualizar la nueva versi$n. Por e emplo% los usuarios pueden determinar si desean actualizar a la versi$n 2.0 del so"t)are o continuar usando la versi$n >.0. Selecti)e up rades. /i al#unos usuarios requieren una actualizacion pero no otros% Usted puede crear GP(s m9ltiples para que se apliquen a los usuarios que requieran la actualizaci$n y crear los paquetes de so"t)are apropiados en ellas.
*.8. Prctica 8, Cmo actuali?ar el 'o&t=are instalado#

Usted utiliza la instalaci$n de so"t)are para esta&lecer el procedimiento de actualizaci$n de so"t)are a la versi$n actual. Para instalar una actuali1acin, de#er: >. 2. 3. 4nstalar la versi$n si#uiente del so"t)are. A&rir /o"t)are 4nstallation% hacer clic6 derecho en la nueva versi$n% y despu*s hacer clic6 en Properties. 7n el cuadro Properties de la len#Deta Up rades% en la secci$n Pac,a es that this pac,a e .ill up rade% hacer clic6 en Add% y despues seleccionar la versi$n anterior +actual, del so"t)are. Usted puede actualizar un aplicativo usando la GP( actual o seleccioando una GP( espec"ica. /i am&as versiones del pro#rama tienen un .indo)s 4nstaller Pac6a#e de "orma nativa% este paso se realizar automticamente. @acer !lic6 en Pac,a e can up rade o)er e0istin pac,a e o Uninstall the e0istin pac,a e, then install the up rade pac,a e% y despues hacer clic6 en &/. /eleccionar el tipo de actualizaci$n3 Para realizar un mandatory up#rade% seleccionar el cuadro -equired up rade "or e0istin pac,a es% y despu*s hacer clic6 en &/. Para realizar un optional up#rade% limpiar el cuadro -equired up rade "or e0istin pac,a es% y despu*s hacer clic6 en &/.
A. B.
*.19. Cmo &unciona la reinstalacin de 'o&t=are#
-edeployment es la aplicaci$n de service pac6s y actualizaciones de so"t)are al so"t)are instalado. Usted puede instalar un pac6a#e instalado "orzando la reinstalaci$n del so"t)are. 5a reinstalaci$n puede ser necesaria si el so"t)are pac6a#e instalado previamente es actualizado pero si#ue teniendo la misma versi$n% o si hay pro&lemas de interopera&ilidad o virus que la reinstalaci$n del so"t)are arre#le. !uando Usted marca un archivo pac6a#e para reinstalaci$n% el so"t)are se anuncia a cada uno de los que se ha concedido el acceso al aplicativo% ya sea a trav*s asi#naci$n o pu&licaci$n. 7ntonces% dependiendo de c$mo el pac6a#e ori#inal haya sido instalado% uno de estos tres escenarios ocurrir3
!uando usted asi#ne so"t)are a un usuario% el Start menu% los shortcuts de escritorio y la con"i#uraci$n de re#istry sern relevantes al so"t)are y actualizados la pr$:ima vez que el usuario inicie sesi$n. 5a pr$:ima vez que el usuario inicie el so"t)are% el service pac6 o actualizaci$n de so"t)are se aplicar automticamente. !uando usted asi#ne so"t)are a una computadora% el service pac6 o actualizaci$n de so"t)are se aplicar automticamente la pr$:ima vez que la computadora se encienda. !uando Usted pu&lique e instale so"t)are% el Start menu% los shortcuts de escritorio y la con"i#uraci$n de re#istry% sern relevante al so"t)are y actualizados la pr$:ima vez que el usuario inicie sesi$n. 5a pr$:ima vez que el usuario inicie el so"t)are% el service pac6 o actualizaci$n de so"t)are se aplicar automticamente.
*.11. Prctica 19, Cmo reinstalar 'o&t=are#

Usted utiliza la instalaci$n de so"t)are para esta&lecer el procedimiento de reinstalaci$n del mismo. Antes de reinstalar% ase#9rese que el servicio incluya un nuevo archivo .indo)s 4nstaller pac6a#e +.msi ,. De lo contrario% Usted no podr reinstalar el so"t)are% porque solamente el nuevo archive pac6a#e contiene las instrucciones para instalar los archivos nuevos que el service pac6 o actualizaci$n de so"t)are contiene. Para reinstalar un so"t.are, de#er: (&tener el service pac6 o actualizaci$n de so"t)are del vendedor del aplicativo y colocar los archivos en las carpetas apropiadas de instalaci$n. >. 2. 3. 7ditar la GP( que ori#inalmente instal$ el so"t)are. A&rir /o"t)are 4nstallation% hacer clic6 derecho en el nom&re del archive pac6a#e% marcar All +as,s% y despu*s hacer clic6 en -edeploy Application. 7n el cuadro de dilo#o% hacer clic6 en Ies.
*.1$. M"todos para ;uitar 'o&t=are instalado
Puede ser necesario quitar el so"t)are si una versi$n no es soportada en adelante o si los usuarios no requieren ms el so"t)are. Usted puede "orzar el retiro del so"t)are o dar a los usuarios la opci$n de continuar% usando el vie o so"t)are. Cay dos m"todos de remocin,
7orced remo)al. Usted puede "orzar la remoci$n del so"t)are% lo cual automticamente remover el so"t)are de la computadora la pr$:ima vez que la computadora se encienda o la pr$:ima vez que un usuario inicie sesi$n% en caso de un Group Policy settin# de usuario. 7l so"t)are se remover antes que aparezca el escritorio del usuario. &ptional remo)al. Usted puede quitar el so"t)are de la instalaci$n del mismo sin "orzar el retiro del so"t)are. 7l so"t)are no se quita realmente de las computadoras. 7l so"t)are no aparece ms en Add or -emo)e Pro rams% pero los usuarios pueden todava utilizarlo. /i los usuarios remueven manualmente el so"t)are% no podrn reinstalarlo.
*.1*. Prctica 11, Cmo ;uitar 'o&t=are instalado#

!uando Usted utiliza Group Policy para instalar so"t)are% puede con"i#urar la GP( para remover el so"t)are vie o% si no es ms requerido por su or#anizaci$n. 'am&i*n quitar so"t)are vie o con"i#urando la GP( que permite a los usuarios un optionally up#rade a un nuevo so"t)are pac6a#e. Para quitar so"t.are instalado, de#er: >. 2. 3. A&rir la GP( que "ue utilizada ori#inalmente para instalar el so"t)are. 7n /o"t)are 4nstallation% hacer clic6 derecho al nom&re del pac6a#e% marcar All +as,s% y despu*s hacer clic6 en -emo)e. 7n el cuadro -emo)e So"t.are% hacer clic6 a una de las si#uientes opciones% y despu*s hacer clic6 en &/.
Hmmediately uninstall the so"t.are "rom users and computers. Allo. users to continue to use the so"t.are, #ut pre)ent ne. installations. 0ota, Usted de&e ase#urarse que los usuarios reinicien sus computadoras si el cam&io a"ecta a la computadora% o que inicien sesi$n nuevamente si el cam&io a"ecta al usuario.
+.
Group Policy Management Console DGPMCE
!on untamente con -icroso"t .indo)s /erver. 2003% -icroso"t est lanzando una nueva herramienta Group Policy -ana#ement que uni"ica la administracion de Group Policy. 5a -icroso"t Group Policy -ana#ement !onsole +GP-!, proporciona una sola soluci$n para mane ar todas las areas relacionadas a Group Policy. !onsiste en un nuevo -icroso"t -ana#ement !onsole +--!, snap?in y un sistema de inter"ases de scriptin# para la administraci$n de Group Policy -ana#ement !onsole. 5a GP-! ayuda mane ar una empresa con ms e"icacia.
+.1. !u" es la Group Policy Management Console#
5a Group Policy -ana#ement !onsole +GP-!, es una herramienta nueva para mane ar Group Policy en .indo)s /erver 2003. *a GP(!: Permite que usted mane e Group Policy para m9ltiples "orests% dominios y or#anizational units a partir de una inter"az constante. 7:hi&e los lin6s% herencia y dele#aci$n de Group Policy -uestra los contenedores a los cuales se aplican policy. Proporciona reportes @'-5 de las con"i#uraciones. Proporciona las herramientas para mostrar el Eesultant /et o" Policies +E/oP, y e:perimentar con com&inaciones propuestas de policies. 0ota, 5a GP-! no viene con .indo)s /erver 2003. Usted puede descar#arla de http311))).microso"t.com1)indo)sserver20031#pmc1de"ault.msp:
+.$. GPMC )e;uisitos del 'istema

GP-! ayuda a mane ar am&os dominios &asados en .indo)s 2000 y .indo)s /erver 2003 con Active Directory service. 'n cualquier caso, la computadora en la cual corre GP(! de#e "uncionar con uno de los sistemas operati)os si uientes: .indo)s /erver 2003. .indo)s RP Pro"essional con /ervice Pac6 > +/P>, y -icroso"t .G7' Lrame)or6. Adems% es requerido un hot"i: post?/P> +TL7 T32MAMO,. 7ste TL7 actualiza su versi$n de #pedit.dll a version B.>.2M00.>>NM% la cual se requiere para GP-!. 7ste TL7 se incluye con GP-! y la instalaci$n de GP-! le pre#unta so&re su instalaci$n. /in em&ar#o% si el len#ua e de GP-! no concuerda con el len#ua e de su sistema operativo% GP-! no instalar el TL7 y se necesitar o&tener e instalar por separado este TL7% que ser incluido en .indo)s RP /ervice Pac6 2.
+.*. Instalacin de GPMC

5a instalaci$n de GP-! es un proceso simple que implica la e ecuci$n de un .indo)s 4nstaller +.-/4, pac6a#e. 5os archivos necesarios sern instalados en la carpeta F'ystem)ootF@Program (iles@GPMC . Para ello: >. 2. 3. @acer Do&le?clic6 en pmc.msi pac6a#e y en 3e0t. Aceptar el 7nd User 5icense A#reement +7U5A,% y hacer clic6 en 3e0t. @acer !lic6 en !lose para terminar la instalaci$n.
/o&re la terminaci$n de la instalaci$n% la len#Deta Group Policy que apareca en las p#inas de propiedades de sites% dominios y or#anizational units +(Us, en el Active Directory snap?ins% es actualizada para proporcionar un acceso directo a la GP-!. 5a "uncionalidad que e:isti$ previamente en la len#Deta ori#inal de Group Policy no estar ms disponi&leJ toda la "uncionalidad para mane ar Group Policy estar disponi&le a trav*s de la GP-!. Para a#rir el GP(! snap9in directamente, utili1ar al uno de los m%todos si uientes: @acer !lic6 en Start% clic6 -un% in#resar GP(!.msc% y despu*s hacer clic6 en &/. @acer !lic6 en el acceso Group Policy (ana ement en la carpeta Administrati)e +ools del /tart -enu o en el !ontrol Panel. !rear una consola custom --! >. 2. @acer !lic6 en Start% clic6 -un% in#resar ((!% y despu*s hacer clic6 en &/. 7n el menu 7ile% hacer clic6 en Add?-emo)e Snap9in, hacer clic6 en Add% seleccionar Group Policy (ana ement% hacer clic6 en Add% hacer clic6 en !lose% y despu*s hacer clic6 en &/.
Para reparar o quitar GP-!% usar Add or -emo)e Pro rams en !ontrol Panel. Alternativamente% correr el #pmc.msi pac6a#e% seleccionr la opci$n apropiada% y hacer clic6 en 7inish.
Captulo 5 | Pgina *9 |
+.+. Group Policy Modeling y Group Policy )esults
Group Policy (odelin .indo)s /erver 2003 tiene una nueva caracterstica de #ran alcance3 Group Policy -ana#ement. 7sta permite que el usuario simule la aplicaci$n de policy que sera aplicada a los usuarios y a las computadoras antes aplicar realmente policies. 7sta caracterstica% es conocida como Eesultant /et o" Policy +E/oP,. 7l -odo de planeamiento en .indo)s /erver 2003% se inte#ra en GP-! como Group Policy -odelin#. 7sto requiere un domain controller .indo)s /erver 2003 en el "orest porque la simulaci$n es realizada por un servicio que est solamente presente en domain controllers .indo)s /erver 2003. /in em&ar#o% usando esta caracterstica% Usted puede simular el resultant set o" policy para cualquier computadora en el "orest% incluyendo las que "uncionan con -icroso"t .indo)s 2000. Group Policy -esults 7sta caracterstica permite que los administradores determinen el resultant set o" policy que "ue aplicada a una computadora espec"ica y +opcionalmente, el usuario que inici$ sesi$n en esa computadora. 5os datos que se presentan son similares a los datos de Group Policy -odelin#. /in em&ar#o% son di"erentes a Group Policy -odelin# puesto que no son una simulaci$n. 7s el resultado real de resultant set o" policy o&tenido de la computadora destino. 'am&i*n di"iere Group Policy -odelin#% con los datos de Group Policy Eesults que se o&tienen del cliente% y no se simula en el domain controller. 7l cliente de&e correr .indo)s RP% .indo)s /erver 2003 o superior. Go es posi&le conse#uir Group Policy Eesults para una computadora que corra .indo)s 2000 o anterior.
+.5. Administrando mGltiples (orests

(Jltiples "orests pueden ser a re ados "cilmente a la consola. Para ello de#er: >. @acer clic6 derecho al nodo de la raz Group Policy (ana ement% y seleccionar Add 7orestK
2.
7speci"icar el nom&re DG/ o GetF4(/ del dominio deseado en el "orest que no se haya car#ado en GP-!% y hacer clic6 en &/.
7l "orest especi"icado aparecer como nodo secundario en la consola y ser car#ado en la consola con el dominio que "ue incorporado en el cuadro Add 7orest. Para quitar un nodo de "orest% simplemente ha#a clic6 derecho en el nodo% y seleccione -emo)e. Por de"ecto usted puede a#re#ar solamente "orest a la GP-! si hay 2?)ay trust con el "orest del usuario que corre la GP-!.
+.2. Contenido de 7ominios

Dentro de cada dominio% GP-! proporciona una vista &asada en policy de Active Directory y los componentes asociados a las Group Policy% por e emplo% GP(s% .-4 "ilters y GP( lin6s. 5a visi$n en GP-! es similar a la visi$n en Active Directory Users and !omputers --! snap?in% que muestra la erarqua de (U. /in em&ar#o% GP-! di"iere de este snap?in porque en vez de mostrar usuarios% computadoras y #rupos en (Us% e:hi&e las GP(s que estn lin6eadas a cada contnedor. !ada nodo de dominio en GP(! e0hi#e los puntos si uientes: 'odas las GP(s lin6eadas al dominio. 'odas las top?level (Us y una vista del r&ol de (Us y GP(s lin6eadas a cada una de las (Us. 5os contenedores de Group Policy &#$ects muestran todas las GP(s en el dominio. 7l contenedor 8(H 7ilters muestra todos los .-4 Lilters en el dominio.
Captulo 5 | Pgina *$ |
+.4. )eportes de con&iguracin de GP/

5a len#Deta de con"i#uraci$n de GP( o GP( lin6 en GP-!% muestra un in"orme @'-5 que e:hi&e todas las con"i#uraciones de"inidas en la GP(. @aciendo clic6 en esta len#Deta se #enera un in"orme de las con"i#uraciones en la GP(. 7ste in"orme puede ser #enerado por cualquier usuario con acceso de lectura al GP(. /in GP-!% usuarios que no tenan acceso de escritura a un GP( no podrn leer y revisar con"i#uracion en esa GP(. 7sto es porque el editor de Group Policy (& ect requiere que el usuario ten#a permisos de lectura y escritura al a&rir la GP(.
Captulo 5 | Pgina ** |
5os in"ormes @'-5 tam&i*n hacen "cil que el administrador ten#a visi$n de todas las con"i#uraciones que se conten#an en un GP( de un vistazo. /eleccionando la opci$n Sho. All arri&a del in"orme% *ste se ampla completamente y se muestran todas las con"i#uraciones. Para ver o #uardar un in"orme directamente en un &ro)ser .e&% Usted de&e utilizar 4nternet 7:plorer M o Getscape K. Getscape K no soporta la "uncionalidad que permita mostrar u ocultar datos en in"ormes.
+.5. /peraciones con GP/

5as operaciones GP( se re"ieren a la capacidad de #ac,up +e:port,% restore% import y copy de GP(s. @acer &ac6up de GP( consiste en hacer copia de los datos de GP( al sistema de archivos. (&servar que la "uncti$n 6ac,up tam&i*n sirve como la "unci$n de la e:portaci$n para GP(s. 7l Eestore de GP( toma un &ac6up e:istente y recrea la GP( en el dominio. 7l prop$sito del restore es rea ustar un GP( espec"ico de nuevo al estado id*ntico que tenia cuando "ue realizado el &ac6up. Por lo tanto% la operacion de restore no puede ser utilizada para trans"erir GP(s a trav*s de dominios. Para esta operaci$n de&e utilizar la importaci$n de GP( $ la operaci$n de copy.
+.5.1. :ac3up
'l 6ac,up de GP& pone una copia de todos los datos rele)antes de GP& en una locali1acin especi"icada del sistema de archi)os. *os datos rele)antes incluyen: 7l GP( GU4D y dominio. !on"i#uraciones GP(. 5a Discretionary Access !ontrol 5ist +DA!5, de la GP(. 5os .-4 "ilter lin6. 5a operaci$n de &ac6up solamente hace &ac6up de componentes de la GP( que estn en Active Directory y en la estructura de archivo de GP( en /I/8(5. 5a operaci$n no captura los datos almacenados "uera del GP(% por e emplo .-4 "ilters e 4P /ecurity policies. Ustos son o& etos separados con su propio sistema de permisos y es posi&le que un administrador que realiza el &ac6up o el restore% pueda no tener los permisos requeridos en esos otros o& etos.
Captulo 5 | Pgina *+ |
*os administradores pueden hacer #ac,up de una o ms GP&s usando los m%todos si uientes: @acer clic6 derecho en la GP( &a o el nodo Group Policy o#$ects y ele#ir 6ac, upK del men9 de conte:to. @acer clic6 derecho en una o ms GP(s en la len#Deta !ontents del nodo Group Policy o#$ects y ele#ir 6ac, upK del men9 de conte:to. 7sto hace &ac6up de las GP(+s, seleccionadas. 7n el nodo Group Policy &#$ects% hacer clic6 derecho y ele#ir la opci$n 6ac, Up AllK 7sto hace &ac6up de todas las GP(s en el dominio. Use los GP( &ac6up scripts. Usted puede escri&ir sus el propios scripts o puede utilizar la muestra de scripts incluida con GP-! en la carpeta GP-!Vscripts . @ay dos scripts 6ac,upGP&..s" y 6ac,upAllGP&s..s" que se incluyen con GP-!% los cuales usted pueden utilizar para hacer &ac6up de GP(s.
+.5.$. )estore
5a operaci$n de Eestore de GP( restaura la GP( a un estado anterior y puede ser utilizada en los casos si#uientes3 se realiza &ac6up a la GP( pero se ha removido desde entonces% o la GP( est viva y se desea volverla a un estado anterior. *a operacin de restore su#stituye los componentes si uientes de una GP&: !on"i#uraciones de GP(. A!5s en la GP(. 5os .-4 "ilter lin6s.
Usted puede reali1ar un restore de GP&s usando cualquiera de los m%todos si uientes: Para hacer restore una GP( e:istente% hacer clic6 derecho a la GP( en el contenedor Group Policy o#$ects y seleccionar -estore "rom 6ac,upK 7sto a&re el -estore Group Policy &#$ect 8i1ard. Usar los GP( restore scripts. Usted puede escri&ir sus propios scripts o utilizar las muestras de scripts includas con GP-! en la carpeta GPMC@scripts @ay dos scripts -estoreGP&..s" y -estoreAllGP&s..s".
+.5.*. Import
5a operaci$n de importaci$n trans"iere con"i#uraci$n en una GP( e:istente de Active Directory% usando un &ac6up de GP( en la localizaci$n del sistema de archivos como su "uente. 5as operaciones de importaci$n se pueden utilizar para trans"erir con"i#uraciones a trav*s de GP(s dentro del mismo dominio% a trav*s de dominios en el mismo "orest o en "orest separados. 5as operaciones de importaci$n son ideales para emi#rar Group Policy a trav*s de am&ientes donde no hay con"ianza. *as operaciones de importacin se pueden reali1ar usando cualquiera de los m%todos si uientes: @acer clic6 derecho en la GP( &a o el nodo Group Policy (& ects y hacer clic6 en 4mport /ettin#s. 7sto iniciar un )izard que lo #uiar en el proceso de seleccionar el &ac6up y opcionalmente especi"icando una ta&la de mi#raci$n si es apropiado. Usar uno de los scripts HmportGP&..s" o HmportAllGP&s..s" que se incluyen con GP-!.
+.5.+. Copy
>. Una operaci$n de copia trans"iere con"i#uraciones usando una GP( e:istente en Active Directory como la "uente y crea un GP( nueva como su destino. Una operaci$n de copia se puede utilizar para trans"erir con"i#uraciones a un GP( nuevo cualquiera en el mismo dominio% en otros dominios% en el mismo "orest o en "orest separados. Puesto que una operaci$n de copia utiliza un GP( e:istente en Active Directory como ori#en% la con"ianza se requiere entre el ori#en y los dominios de la destino.
2.
*as operaciones de copia se pueden reali1ar usando cualquiera de los m%todos si uientes: @acer clic6 derecho en la GP( ori#in% ele#ir la copy y hacer clic6 derecho en el contenedor Group Policy &#$ects del dominio deseado de destino. 7le#ir la opci$n paste. Usar dra# and drop para arrastrar la GP( ori#in al contenedor Group Policy &#$ects en el dominio destino. Usar el script !opyGP&..s" command?line que se incluye con GP-!. Para o&tener mas in"ormaci$n3 http311))).microso"t.com1)indo)sserver20031#pmc1de"ault.msp: http311))).microso"t.com1)indo)sserver20031#pmc1mi#r#po.msp:
http311))).microso"t.com1#rouppolicy http311))).microso"t.com1technet1#rouppolicy

265 - Windows - Server - 2003 Capitulo - 5

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

265 - Windows - Server - 2003 Capitulo - 5

Încărcat de

Drepturi de autor:

Formate disponibile

Captulo 5 | Pgina 1 |

Captulo 5 Implementacin, Administracin y Monitoreo de Group Policy

1.1. !u" es Group Policy#

1.$. !u" son %ser y Computer Con&iguration 'ettings#

1.*. Prctica 1, Con&igurando -ocal Computer Policy 'ettings

1.+. -as .erramientas usadas para crear GP/s

1.5. Prctica $, Cmo crear una GP/#

1.2. !u" es un GP/ -in3#

1.4. Prctica *, Cmo crear un GP/ -in3#

1.5. Cmo se .eredan permisos de Group Policy en Acti6e 7irectory#

1.8. !u" sucede cuando .ay con&licto de GP/s#

1.19. :lo;ueo de 7eployment de GP/

1.11. Cmo con&igurar Group Policy <n&orcement#

Captulo 5 | Pgina 19 | 1.1$. (iltrado de Aplicacin de GP/

Captulo 5 | Pgina 11 | $. Administracin del entorno de usuario

$.1. !u" son los Group Policy 'ettings <na1le o 7isa1le#

$.$. Prctica +, Cmo editar un Group Policy 'etting#

$.*. !u" son los scripts de Group Policy 'ettings#

$.5. !u" es (older )edirection#

$.2. Carpetas ;ue pueden ser redireccionadas

$.4. Con&iguraciones re;ueridas para con&igurar (older )edirection

$.5. Prctica 2, Cmo con&igurar (older )edirection#

$.8. !u" es Gpupdate#

$.19. !u" es Gpresult#

*. Administracin de instalacin de 'o&t=are

*.1. -a instalacin del 'o&t=are y el proceso de mantenimiento

Captulo 5 | Pgina 18 | *.$. !u" es >indo=s Installer#

*.*. 7escripcin del proceso de 'o&t=are 7eployment

*.+. Assigning 'o&t=are 6s. Pu1lis.ing 'o&t=are

*.5. Prctica 4, Cmo utili?ar una GP/ para instalar 'o&t=are#

*.2. Prctica 5, Cmo cam1iar las opciones para la instalacin de 'o&t=are#

*.4. !u" es la modi&icacin de 'o&t=are#

*.5. Bipos de actuali?acin de 'o&t=are

*.8. Prctica 8, Cmo actuali?ar el 'o&t=are instalado#

*.19. Cmo &unciona la reinstalacin de 'o&t=are#

*.11. Prctica 19, Cmo reinstalar 'o&t=are#

*.1$. M"todos para ;uitar 'o&t=are instalado

*.1*. Prctica 11, Cmo ;uitar 'o&t=are instalado#

Group Policy Management Console DGPMCE

+.1. !u" es la Group Policy Management Console#

+.$. GPMC )e;uisitos del 'istema

+.*. Instalacin de GPMC

+.+. Group Policy Modeling y Group Policy )esults

+.5. Administrando mGltiples (orests

+.2. Contenido de 7ominios

+.4. )eportes de con&iguracin de GP/

+.5. /peraciones con GP/

S-ar putea să vă placă și

.. 7escripcin del proceso de 'o&t=are 7eployment

.1. Prctica 11, Cmo ;uitar 'o&t=are instalado#