Introducción a la directiva de grupo para Office 2010

 

Se aplica a: Office 2010

Última modificación del tema: 2017-01-17

La directiva de grupo permite a los administradores aplicar configuraciones u opciones de directiva a usuarios y equipos en un entorno de servicio de directorio de Active Directory. Los administradores que planean usar la directiva de grupo para administrar aplicaciones de Microsoft Office 2010 pueden revisar este artículo en el que se incluye una breve introducción a los conceptos relacionados con la directiva de grupo. Si desea obtener respuestas a las preguntas más frecuentes acerca de la directiva de grupo y Office 2010, vea Preguntas más frecuentes: directiva de grupo (Office 2010).

En este artículo:

  • Directiva de grupo local y basada en Active Directory

  • Procesamiento de directivas de grupo

  • Cambio del modo en el que la directiva de grupo procesa los GPO

  • Plantillas administrativas

  • Directivas verdaderas y preferencias de usuario

  • Herramientas de administración de directivas de grupo

  • Herramienta de personalización de Office y directiva de grupo

Directiva de grupo local y basada en Active Directory

La directiva de grupo es una infraestructura que se usa para proporcionar y aplicar una o más opciones de configuración deseadas o de directivas a un conjunto de usuarios y equipos identificados en un entorno de servicio de directorio de Active Directory. La infraestructura de la directiva de grupo consta de un motor de directiva de grupo y varias extensiones individuales. Estas extensiones se usan para configurar las opciones de configuración de la directiva de grupo, ya sea mediante la modificación del Registro a través de la extensión Plantillas administrativas, o estableciendo las opciones de la directiva de grupo para la configuración de seguridad, la instalación de software, la redirección de carpetas, el mantenimiento de Internet Explorer, la configuración de redes inalámbricas y otras áreas.

Cada instalación de la directiva de grupo consta de dos extensiones:

  • Una extensión de servidor del complemento Microsoft Console Management (MMC) del Editor de objetos de directiva de grupo, que se usa para definir y establecer la configuración de directiva aplicada a los equipos cliente.

  • Una extensión de cliente a la que llama el motor de la directiva de grupo para aplicar la configuración de directiva.

Las opciones de configuración de las directivas de grupo se encuentran en los objetos de directivas de grupos (GPO), que están vinculados a los contenedores de Active Directory seleccionados como sitios, dominios o unidades organizativas (OU). Cuando se crea un GPO, se almacena en el dominio. Cuando el GPO se vincula a un contenedor de Active Directory, como una unidad organizativa, el vínculo es un componente de ese contenedor de Active Directory. El vínculo no es un componente del GPO. Los destinos afectados evalúan las opciones de configuración de los GPO mediante la naturaleza jerárquica de Active Directory. Por ejemplo, puede crear un GPO denominado Configuración de Office 2010 que contiene únicamente configuraciones para aplicaciones de Office 2010. A continuación, puede aplicar ese GPO a un sitio específico, de modo que los usuarios que están en ese sitio reciban las configuraciones de Office 2010 especificadas en el GPO de la Configuración de Office 2010.

Cada equipo dispone de un GPO local que siempre se procesa, independientemente de si el equipo forma parte de un dominio o es un equipo independiente. Los GPO basados en dominios no pueden bloquear al GPO local. Sin embargo, la configuración en los GPO del dominio siempre tiene prioridad, ya que se procesan después del GPO local.

Nota

Windows Vista, Windows Server 2008 y Windows 7 proporcionan soporte para la administración de varios GPO locales en equipos independientes. Para obtener más información, vea el tema sobre la guía paso a paso para administrar varios objetos de directiva de grupo local (http://go.microsoft.com/fwlink/?linkid=182215&clcid=0xC0A).

Si bien puede configurar objetos de directiva de grupo locales en equipos individuales, las máximas ventajas de la directiva de grupo se obtienen en una red basada en Windows 2003 o Windows Server 2008 con Active Directory instalado.

Procesamiento de directivas de grupo

La directiva de grupo para equipos se aplica durante el inicio del equipo. La directiva de grupo para usuarios se aplica cuando los usuarios inician sesión. Además del procesamiento inicial de la directiva de grupo durante el inicio y el inicio de sesión, la directiva de grupo se aplica posteriormente en segundo plano de forma periódica. Durante una actualización en segundo plano, una extensión de cliente vuelve a aplicar la configuración de directivas solo si detecta que se ha producido un cambio en el servidor en cualquiera de sus GPO o su lista de GPO. A fin de poder instalar el software o redireccionar la carpeta, el procesamiento de directiva de grupo solo se produce durante el inicio o el inicio de sesión de un equipo.

Las opciones de la configuración de directiva de grupo se procesan en el siguiente orden:

  • GPO local: cada equipo tiene un objeto de directiva de grupo que se almacena de manera local. Este GPO se procesa para la directiva de grupo del equipo y del usuario.

  • Sitio: los GPO vinculados al sitio al cual pertenece el equipo se procesan a continuación. El procesamiento se completa en el orden especificado por el administrador, en la ficha Objetos de directiva de grupo vinculados del sitio en la Consola de administración de directivas grupo (GPMC). El GPO con el orden de vínculos más bajo se procesa en último lugar y tiene la máxima prioridad. Para obtener más información acerca del uso de GPMC, vea la sección Herramientas de administración de directivas de grupo más adelante en este artículo.

  • Dominio: los GPO vinculados al sitio al que pertenece el equipo se procesan en el orden especificado por el administrador, en la ficha Objetos de directiva de grupo vinculados del sitio en la Consola de administración de directivas grupo (GPMC). El GPO con el orden de vínculos más bajo se procesa en último lugar y tiene la máxima prioridad.

  • Unidades organizativas: los GPO vinculados a la unidad organizativa que estén más arriba en la jerarquía de Active Directory se procesan en primer lugar y, a continuación, se procesan los GPO que están vinculados a su unidad organizativa secundaria, y así sucesivamente. Los GPO vinculados a la unidad organizativa que contiene el usuario o equipo se procesan en último lugar.

El orden de procesamiento está sujeto a las siguientes condiciones:

  • Instrumental de administración de Windows (WMI) o el filtrado de seguridad aplicado a GPO.

  • Es posible exigir cualquier GPO basado en un dominio (no un GPO local) mediante el uso de la opción Exigir para que su configuración de directivas no pueda sobrescribirse. Debido a que un GPO exigido se procesa en último lugar, ninguna otra configuración puede sobrescribir la configuración de ese GPO. Si existe más de un GPO exigido, la misma configuración de cada GPO puede establecerse en un valor diferente. En ese caso, el orden de vínculos de los GPO determina qué GPO contiene la configuración final.

  • En cualquier dominio o unidad organizativa, la herencia de directivas de grupo puede designarse de forma selectiva como Bloquear herencia. Sin embargo, como los GPO exigidos siempre se aplican y no pueden bloquearse, el bloqueo de la herencia no impide la aplicación de la configuración de directivas desde los GPO exigidos.

Directivas heredadas

La configuración de directivas vigente para un usuario y equipo es el resultado de la combinación de GPO aplicados en un sitio, dominio o unidad organizativa. Cuando se aplican varios objetos de directiva de grupo a los usuarios y equipos de esos contenedores de Active Directory, se agrega la configuración de los GPO. De forma predeterminada, la configuración implementada en los GPO vinculados a contenedores de más alto nivel (contenedores primarios) de Active Directory la heredan contenedores secundarios y se combina con la configuración implementada en GPO vinculados a los contenedores secundarios. Si varios GPO intentan establecer una configuración de directivas con valores en conflicto, el objeto de directiva de grupo con la prioridad más alta establece la configuración. Los GPO que se procesan posteriormente tienen prioridad sobre los GPO que se procesan anteriormente.

Procesamiento sincrónico y asincrónico

Los procesos sincrónicos se pueden describir como una serie de procesos en los que un proceso debe finalizar su ejecución antes de que comience el siguiente. Los procesos asincrónicos se pueden ejecutar en distintos subprocesos simultáneamente, dado que su resultado es independiente de otros procesos. Los administradores pueden usar una configuración de directivas para cada GPO con el fin de cambiar el comportamiento predeterminado del procesamiento para que dicho procesamiento sea asincrónico en lugar de sincrónico.

En el procesamiento sincrónico, hay un límite de tiempo de 60 minutos para la finalización del procesamiento de cualquier directiva de grupo que se ejecute en el equipo cliente. A las extensiones de cliente que no hayan acabado de procesarse después de 60 minutos se les indicará que se detengan. En este caso, es posible que la configuración de directiva correspondiente no se aplique totalmente.

Característica para la optimización del inicio de sesión rápido

La característica para la optimización del inicio de sesión rápido se establece de forma predeterminada para los miembros del dominio y del grupo de trabajo. El resultado es la aplicación asincrónica de la directiva cuando se inicia el equipo y cuando el usuario inicia sesión. Esta aplicación de la directiva es similar a una actualización en segundo plano. Puede reducir el tiempo que tarda en aparecer el cuadro de diálogo de inicio de sesión y el tiempo que tarda en estar disponible el escritorio para el usuario.

Los administradores pueden deshabilitar la característica para la optimización del inicio de sesión rápido con la configuración de directivas Esperar siempre la detección de red al inicio del equipo y de sesión, a la que se obtiene acceso en el nodo Configuración del equipo\Plantillas administrativas\Sistema\Inicio de sesión del Editor de objetos de directiva de grupo.

Procesamiento de vínculos de baja velocidad

Algunas extensiones de directiva de grupo no se procesan cuando la velocidad de conexión cae por debajo de los umbrales especificados. De manera predeterminada, la directiva de grupo considera que un vínculo es de baja velocidad si su velocidad es inferior a los 500 kilobits por segundo (Kbps).

Intervalo de actualización de la directiva de grupo

La directiva de grupo se procesa de manera predeterminada cada 90 minutos, con un retraso aleatorio de hasta 30 minutos, para un intervalo de actualización máximo total de hasta 120 minutos.

Para la configuración de seguridad, una vez modificadas las directivas de configuración de seguridad, la configuración de directivas se actualizan en los equipos de la unidad organizativa a la que está vinculado el objeto de directiva de grupo:

  • Cuando un equipo se reinicia.

  • Cada 90 minutos en una estación de trabajo o servidor y cada 5 minutos en un controlador de dominio.

  • De forma predeterminada, la configuración de la directiva de seguridad que aporta la directiva de grupo también se aplica cada 16 horas (960 minutos), incluso si no ha cambiado ningún objeto de directiva de grupo.

Desencadenar una actualización de la directiva de grupo

Los cambios realizados en el objeto de directiva de grupo se deben replicar en primer lugar en el controlador de dominio correspondiente. Por lo tanto, es posible que los cambios en la configuración de la directiva de grupo no estén disponibles inmediatamente en los escritorios de los usuarios. En algunos casos, como en la aplicación de la configuración de la directiva de seguridad, puede que sea necesario aplicar la configuración de directivas inmediatamente.

Los administradores pueden desencadenar una actualización de la directiva manualmente desde un equipo local sin tener que esperar a la actualización automática en segundo plano. Para ello, los administradores pueden escribir gpupdate en la línea de comandos para actualizar la configuración de directiva de usuario o equipo. No puede usar GPMC para desencadenar una actualización de la directiva.

El comando gpupdate activa una actualización de directiva en segundo plano en el equipo local desde el que se ejecuta el comando. El comando gpupdate se usa en entornos de Windows Server 2003 y Windows XP.

La aplicación de la directiva de grupo no puede insertarse en los clientes a petición desde el servidor.

Cambio del modo en el que la directiva de grupo procesa los GPO

El método principal para especificar qué usuarios y equipos reciben la configuración de un GPO es el vínculo de GPO a sitios, dominios y unidades organizativas.

Puede cambiar el orden predeterminado en el que se procesan los GPO usando cualquiera de los siguientes métodos:

  • Cambiar el orden de vínculos.

  • Bloquear la herencia.

  • Exigir un vínculo de GPO.

  • Deshabilitar un vínculo de GPO.

  • Usar filtrado de seguridad.

  • Usar filtro de Instrumental de administración de Windows (WMI).

  • Usar procesamiento de bucle invertido.

Cada uno de estos métodos se describen en las siguientes subsecciones.

Cambiar el orden de vínculos

El orden de vínculos de GPO en un sitio, dominio o unidad organizativa controla cuándo se aplican los vínculos. Los administradores pueden cambiar la prioridad de un vínculo cambiando el orden de los vínculos, es decir, subiendo o bajando cada vínculo en la lista hasta la ubicación adecuada. El vínculo con el mayor orden (1 es el orden más alto) tiene la prioridad más alta para un sitio, dominio o unidad organizativa.

Bloquear la herencia

El uso del bloqueo de la herencia para un dominio o unidad organizativa impide que el contenedor de Active Directory de nivel secundario herede automáticamente los GPO vinculados a dominios, unidades organizativas o sitios más altos. Los contenedores de nivel secundario heredan de manera predeterminada todos los GPO del nivel principal. Sin embargo, a veces resulta útil bloquear la herencia.

Exigir un vínculo de GPO

Puede especificar que la configuración de un vínculo de GPO tenga prioridad sobre la configuración de cualquier objeto secundario estableciendo ese vínculo en Exigido. Los vínculos de GPO que se exigen no se pueden bloquear desde el contenedor principal. Si los GPO contienen opciones de configuración en conflicto y no se exigen desde un contenedor de nivel superior, la configuración de los vínculos de GPO en el contenedor primario de nivel superior se sobrescribe con la configuración de los GPO vinculados a unidades organizativas secundarias. Al exigirse, el vínculo de GPO principal siempre tiene prioridad. Los vínculos de GPO no se exigen de manera predeterminada.

Deshabilitar un vínculo de GPO

Puede bloquear totalmente la aplicación de un GPO para un sitio, dominio o unidad organizativa deshabilitando el vínculo de GPO para ese dominio, sitio o unidad organizativa. Esto no deshabilita el GPO. Si el GPO está vinculado a otros sitios, dominios o unidades organizativas, seguirán procesando el GPO si sus vínculos están habilitados.

Usar filtrado de seguridad

Este método se usa para especificar que solo principios de seguridad específicos incluidos en un contenedor donde esté vinculado el GPO apliquen este último. Los administradores pueden usar el filtrado de seguridad para reducir el ámbito de un GPO para que el GPO se aplique solo a un grupo, usuario o equipo. El filtrado de seguridad no puede usarse de forma selectiva en diferentes opciones de configuración dentro de un GPO.

El GPO se aplica a un usuario o equipo solo si ese usuario o equipo tienen los permisos de lectura y aplicación de directiva de grupo (AGP) en el GPO, de manera explícita o eficaz, a través de la pertenencia a grupos. De manera predeterminada, todos los GPO tienen establecida la opción de lectura y aplicación de directiva de grupo en Permitido para el grupo de usuarios autenticados, que incluye usuarios y equipos. Así es como todos los usuarios autenticados reciben la configuración de un nuevo GPO cuando el GPO se aplica a una unidad organización, un dominio o un sitio.

De manera predeterminada, los administradores del dominio, los administradores de empresas y el sistema local poseen permisos de control total, sin la entrada de control de acceso (ACE) Aplicar directiva de grupo. Los administradores también son miembros del grupo de usuarios autenticados. Esto significa que, de forma predeterminada, los administradores reciben la configuración del GPO. Estos permisos se pueden cambiar para limitar el ámbito a un conjunto específico de usuarios, grupos o equipos dentro del sitio, dominio o unidad organizativa.

La Consola de administración de directivas de grupo (GPMC) administra estos permisos como una sola unidad y muestra el filtrado de seguridad para el objeto de directiva de grupo en la ficha Ámbito de GPO. En GPMC, los grupos, usuarios y equipos se pueden agregar o quitar como filtros de seguridad para cada GPO.

Uso del filtrado de Instrumental de administración de Windows

El filtrado de WMI se usa para filtrar la aplicación de un GPO mediante la asociación de una consulta del lenguaje de consultas WMI (WQL) a un objeto de directiva de grupo. Las consultas se pueden usar para consultar varios elementos en WMI. Si una consulta devuelve el valor verdadero para todos los elementos consultados, el GPO se aplica al usuario o equipo de destino.

Un GPO está vinculado a un filtro WMI y se aplica en un equipo de destino, y el filtro se evalúa en el equipo de destino. Si el filtro WMI se considera falso, no se aplica el GPO (excepto que el equipo cliente esté ejecutando Windows 2000, en cuyo caso se omite el filtro y siempre se aplica el GPO). Si el filtro WMI se considera verdadero, se aplica el GPO.

El filtro WMI es un objeto independiente del GPO en el directorio. Un filtro WMI debe estar vinculado a un GPO para que pueda aplicarse, y un filtro WMI y el GPO al que está vinculado deben estar en el mismo dominio. Los filtros WMI se almacenan solo en dominios. Cada GPO puede tener un solo filtro WMI. El mismo filtro WMI se puede vincular a varios GPO.

Nota

Instrumental de administración de Windows (WMI) es la implementación de Microsoft de la iniciativa de administración de empresas basadas en Internet que establece los estándares de la infraestructura de la administración y le permite combinar la información de diversos sistemas de administración de hardware y software. WMI expone datos de configuración de hardware como la CPU, la memoria, el espacio en disco y el fabricante, así como datos de configuración del software de Registro, los controladores, el sistema de archivos, Active Directory, el servicio Windows Installer, la configuración de redes y los datos de las aplicaciones. Los datos de un equipo de destino se pueden usar con fines administrativos, como el filtrado de objetos de directiva de grupo de WMI.

Usar procesamiento de bucle invertido

Puede usar esta característica para asegurarse de que se aplique un conjunto de opciones de configuración de directivas consistente a cualquier usuario que inicie sesión en un equipo específico, sin importar la ubicación del usuario en Active Directory.

El procesamiento de bucle invertido es una opción de configuración de directivas de grupo avanzada que resulta útil en equipos de algunos entornos administrados muy de cerca, como servidores, quioscos, laboratorios, aulas y áreas de recepción. La definición del bucle invertido hace que la configuración de directivas Configuración del usuario de los GPO que se aplican al equipo se aplique a cada usuario que inicie sesión en ese equipo, en lugar de (en el modo Reemplazar) o además de (en el modo Combinar) la configuración Configuración del usuario del usuario.

Para definir el procesamiento de bucle invertido, puede usar la configuración de directivas Modo de procesamiento de bucle invertido de directiva de grupo del usuario, a la cual se puede obtener acceso en Configuración del equipo\Plantillas administrativas\Sistema\Directiva de grupo en el Editor de objetos de directiva de grupo.

Para usar la característica de procesamiento de bucle invertido, la cuenta del equipo y la cuenta del usuario deben estar en un dominio que ejecute Windows Server 2003 o una versión posterior de Windows. El procesamiento de bucle invertido no funciona para equipos que se unen a un grupo de trabajo.

Plantillas administrativas

La extensión de plantillas administrativas de una directiva de grupo consiste en un complemento del servidor MMC que se usa para definir la configuración de directivas y una extensión del cliente que define las claves de Registro en equipos de destino. La directiva de plantillas administrativas también se denomina directiva basada en el Registro o directiva del Registro.

Archivos de plantillas administrativas

Los archivos de plantillas administrativas son archivos Unicode que se componen de una jerarquía de categorías y subcategorías para definir cómo se muestran las opciones por medio del Editor de objetos de directiva de grupo y GPMC. También indican las ubicaciones de Registro que se ven afectadas por la configuración de directivas, entre las que se incluyen los valores predeterminados (no configurados), habilitados o deshabilitados de la configuración de directivas. Las plantillas están disponibles en tres versiones de archivos: .adm, .admx y .adml. Los archivos .adm pueden usarse para equipos que ejecutan el sistema operativo Windows. Los archivos .admx y .adml pueden usarse en equipos que ejecutan al menos Windows Vista o Windows Server 2008. Los archivos .adml son versiones específicas de idioma de archivos .admx.

La funcionalidad de los archivos de plantilla administrativa es limitada. El objetivo de los archivos de plantilla .adm, .admx o .adml es el de habilitar una interfaz de usuario para definir la configuración de directivas. Los archivos de plantilla administrativa no contiene la configuración de directivas. La configuración de directivas están en los archivos Registry.pol que están ubicados en la carpeta Sysvol de los controladores de dominio.

El complemento de servidor Plantillas administrativas ofrece un nodo llamado Plantillas administrativas que aparece en el Editor de objetos de directiva de grupo en el nodo Configuración del equipo y el nodo Configuración del usuario. La configuración incluida en Configuración del equipo manipula la configuración del Registro del equipo. La configuración incluida en Configuración del usuario manipula la configuración del Registro de los usuarios. Aunque algunas opciones de la configuración de directiva requieren elementos de interfaz de usuario sencillos tales como cuadros de texto para especificar valores, la mayoría de las opciones de la configuración de directiva sólo contienen las siguientes:

  • Habilitado: se exige esta directiva. Algunas opciones de configuración de directivas proporcionan opciones adicionales que definen el comportamiento cuando se activa la directiva.

  • Deshabilitado: exige el comportamiento opuesto como el estado Habilitado para la mayoría de las opciones de configuración de directivas. Por ejemplo, si Habilitado exige el estado de una directiva a Desactivado, Deshabilitado exige el estado de la característica a Activado.

  • No configurado: esta directiva no se exige. Este es el estado predeterminado de la mayoría de las opciones.

Los archivos de plantilla administrativa se almacenan en las ubicaciones del equipo local, tal como se muestra en la siguiente tabla.

Tipo de archivo Carpeta

.adm

%systemroot%\Inf

.admx

%systemroot%\PolicyDefinitions

.adml

%systemroot%\PolicyDefinitions\<carpeta específica de idioma, por ejemplo, en-us>

También puede almacenar y usar archivos.admx y .adml desde un almacén central en las carpetas del controlador de dominio, tal como se muestra en la siguiente tabla.

Tipo de archivo Carpeta

.admx

%systemroot%\sysvol\domain\policies\PolicyDefinitions

.adml

%systemroot%\sysvol\domain\policies\PolicyDefinitions\<carpeta específica de idioma, por ejemplo, en-us>

Para obtener más información acerca de cómo almacenar y usar las plantillas desde un almacén central, vea el documento "Directiva de grupo y Sysvol" en Guía de planeación e implementación de directivas de grupo (http://go.microsoft.com/fwlink/?linkid=182208\&clcid=0xC0) en el sitio de Microsoft TechNet.

Archivos de plantillas administrativas para Office 2010

Los archivos de plantillas administrativas específicos para Office 2010 están disponibles como una descarga independiente y le permiten:

  • Controlar puntos de entrada a Internet desde las aplicaciones de Office 2010.

  • Administrar la seguridad en las aplicaciones de Office 2010.

  • Ocultar opciones y opciones de configuración que no son necesarias para que los usuarios puedan llevar a cabo sus tareas y que podrían distraerlos o llevarlos a realizar llamadas innecesarias solicitando asistencia.

  • Crear una configuración estándar altamente administrada en los equipos de los usuarios.

Para descargar las plantillas administrativas de Office 2010, vea el sitio web sobre Archivos de plantillas administrativas de Office 2010 (ADM, ADMX, ADML) y Herramienta de personalización de Office (http://go.microsoft.com/fwlink/?linkid=189316\&clcid=0xC0).

Las plantillas administrativas de Office 2010 son las que se muestran en la siguiente tabla.

Aplicación Archivos de plantillas administrativas

Microsoft Access 2010

access14.admx, access14.adml, access14.adm

Microsoft Excel 2010

excel14.admx, excel14.adml, excel14.adm

Microsoft InfoPath 2010

inf14.admx, inf14.adml, inf14.adm

Microsoft Office 2010

office14.admx, office14.adml, office14.adm

Microsoft OneNote 2010

onent14.admx, onent14.adml, onent14.adm

Microsoft Outlook 2010

outlk14.admx, outlk14.adml, outlk14.adm

Microsoft PowerPoint 2010

ppt14.admx, ppt14.adml, ppt14.adm

Microsoft Project 2010

proj14.admx, proj14.adml, proj14.adm

Microsoft Publisher 2010

pub14.admx, pub14.adml, pub14.adm

Microsoft SharePoint Designer 2010

spd14.admx, spd14.adml, spd14.adm

Microsoft SharePoint Workspace 2010

spw14.admx, spw14.adml, spw14.adm

Microsoft Visio 2010

visio14.admx, visio14.adml, visio14.adm

Microsoft Word 2010

word14.admx, word14.adml, word14.adm

Directivas verdaderas y preferencias de usuario

La configuración de directivas de grupo que los administradores pueden administrar totalmente se denomina directivas verdaderas. Las opciones de configuración que establecen los usuarios (pero que reflejan el estado predeterminado del sistema operativo en el momento de la instalación) se denominan preferencias. Tanto las directivas verdaderas como las preferencias contienen información que modifica el Registro de los equipos de los usuarios.

Directivas verdaderas

Los valores del Registro de las directivas verdaderas se almacenan en las claves del Registro aprobadas para la directiva de grupo. Los usuarios no pueden cambiar ni deshabilitar estas opciones de configuración:

Para la configuración de directivas de equipo:

  • HKEY_LOCAL_MACHINE\Software\Policies (la ubicación preferida)

  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies

Para la configuración de directiva de usuario:

  • HKEY_CURRENT_USER\Software\Policies (la ubicación preferida)

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies

Para Office 2010, las directivas verdaderas se almacenan en las siguientes ubicaciones del Registro.

Para la configuración de directivas de equipo:

  • HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Office\14.0

Para la configuración de directiva de usuario:

  • HKEY_CURRENT_USER\Software\Policies\ Microsoft\Office\14.0

Preferencias

Las preferencias las establecen los usuarios o el sistema operativo en el momento de la instalación. Los valores del Registro que almacenan las preferencias se encuentran fuera de las claves de la directiva de grupo aprobadas. Los usuarios pueden cambiar sus preferencias.

Si establece la configuración de las preferencias mediante un objeto de directiva de grupo, no tienen restricciones de lista de control de acceso del sistema (SACL). Por lo tanto, los usuarios pueden cambiar estos valores en el Registro. Cuando el GPO queda fuera del ámbito (si se desvincula, deshabilita o se elimina el GPO), estos valores no se extraen del Registro.

Para ver las preferencias en el Editor de objetos de directiva de grupo, haga clic en el nodo Plantillas administrativas, haga clic en Ver, en Filtrado y, a continuación, desactive la casilla Mostrar solo valores de directiva que pueden administrarse totalmente.

Herramientas de administración de directivas de grupo

Los administradores usan las siguientes herramientas para administrar la directiva de grupo:

  • Consola de administración de directiva de grupo: se usa para administrar la mayoría de las tareas de administración de directivas de grupo.

  • Editor de objetos de directiva de grupo: se usa para definir las opciones de configuración de directivas en los GPO.

Consola de administración de directivas de grupo

La Consola de administración de directivas de grupo (GPMC) simplifica la administración de la directiva de grupo proporcionando una única herramienta para administrar aspectos básicos de la directiva de grupo, como los ámbitos, la delegación, el filtrado y la manipulación de la herencia de GPO. También se puede usar GPMC para realizar copias de seguridad (exportar), restaurar, importar y copiar GPO. Los administradores pueden usar GPMC para predecir cómo afectarán los GPO a la red y para determinar cómo los GPO han cambiado la configuración en un equipo o usuario. GMPC es la herramienta preferida para administrar la mayoría de las tareas de directiva de grupo en un entorno de dominio.

GPMC proporciona una vista de GPO, sitios, dominios y unidades organizativas en una empresa y puede usarse para administrar dominios de Windows Server 2003 o Windows 2000. Los administradores usan GPMC para realizar todas las tareas de administración de directiva de grupo, con la excepción de la definición de opciones de configuración de directivas individuales en objetos de directiva de grupo. Esto se realiza con el Editor de objetos de directiva de grupo, que puede abrir dentro de GPMC.

Los administradores usan GPMC para crear un GPO sin ninguna configuración inicial. Un administrador también puede crear un GPO y vincularlo a un contenedor de Active Directory al mismo tiempo. Para establecer opciones de configuración individuales dentro de un GPO, un administrador modifica el GPO usando el Editor de objetos de directiva de grupo desde GPMC. El Editor de objetos de directiva de grupo se muestra con el GPO cargado.

Un administrador puede usar GPMC para vincular GPO a sitios, dominios o unidades organizativas en Active Directory. Los administradores deben vincular GPO para aplicar la configuración a los usuarios y equipos de los contenedores de Active Directory.

GPMC incluye las siguientes características del conjunto resultante de directivas (RSoP) que ofrece Windows:

  • Modelación de directivas de grupo. Simula qué opciones de configuración de directivas se aplican en circunstancias especificadas por un administrador. Los administradores pueden usar la modelación de directivas de grupo para simular los datos de RSoP que se aplicarían para una configuración existente o pueden analizar los efectos de cambios simulados e hipotéticos en su entorno de directorio..

  • Resultados de directivas de grupo. Representa los datos reales de la directiva que se aplican a un equipo y un usuario. Los datos se obtienen mediante una consulta en el equipo de destino y la recuperación de los datos de RSoP que se aplicaron a ese equipo. La capacidad de resultados de directivas de grupo la proporciona el sistema operativo cliente y requiere Windows XP, Windows Server 2003 o versiones posteriores del sistema operativo.

Editor de objetos de directiva de grupo

El Editor de objetos de directiva de grupo es un complemento de MMC que se usa para definir las opciones de configuración de directivas en los GPO. El Editor de objetos de directiva de grupo se encuentra en gpedit.dll y se instala con los sistemas operativos: Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008 y Windows 7.

Para configurar las opciones de configuración de directivas de grupo para un equipo local que no es miembro de un dominio, use el Editor de objetos de directiva de grupo para administrar un GPO local (o varios GPO en equipos que ejecuten Windows Vista, Windows 7 o Windows Server 2008). Para configurar las opciones de configuración directivas de grupo en un entorno de dominio, GPMC (que invoca al Editor de objetos de directiva de grupo) es la herramienta preferida para las tareas de administración de la directiva de grupo.

El Editor de objetos de directiva de grupo proporciona a los administradores una estructura de árbol jerárquica para definir opciones de configuración de directivas de grupo en los GPO, y consiste en los siguientes nodos principales:

  • Configuración de usuario: contiene opciones de configuración que se aplican a los usuarios cuando éstos inician sesión y actualizaciones periódicas en segundo plano.

  • Configuración de equipo: contiene opciones de configuración que se aplican a los equipos en el inicio y actualizaciones periódicas en segundo plano.

Los nodos principales se dividen a su vez en carpetas que contienen los distintos tipos de opciones de configuración de directivas que se pueden configurar. Entre estas carpetas se incluyen:

  • Configuración de software, que contiene opciones de configuración de instalación de software.

  • Configuración de Windows, que contiene opciones de configuración de seguridad y opciones de configuración de directivas de scripts.

  • Plantillas administrativas, que contiene opciones de configuración de directivas basadas en el Registro.

Requisitos del sistema para GPMC y el Editor de objetos de directiva de grupo

El Editor de objetos de directiva de grupo forma parte de GPMC y se invoca cuando edita un GPO. Puede ejecutar GPMC en Windows XP, Windows Server 2003, Windows Vista, Windows 7 y Windows Server 2008. Los requisitos varían en función del sistema operativo Windows de la siguiente manera:

Para obtener más información acerca de cómo usar GPMC y el Editor de objetos de directiva de grupo, vea Exigir una configuración usando la directiva de grupo en Office 2010.

Herramienta de personalización de Office y directiva de grupo

Los administradores pueden usar la Herramienta de personalización de Office (OCT) o la directiva de grupo para personalizar las opciones de configuración del usuario para las aplicaciones de Office 2010.

  • Herramienta de personalización de Office: se usa para crear un archivo de personalización del programa de instalación (archivo .msp). Los administradores pueden usar OCT para personalizar características y configurar opciones de usuario. Los usuarios pueden modificar la mayor parte de las opciones de configuración después de la instalación. Esto se debe a que OCT configura las opciones en partes del Registro públicamente accesibles, como HKEY_CURRENT_USER/Software/Microsoft/Office/14.0. Esta herramienta suele usarse en organizaciones que no administran las configuraciones de escritorio de forma centralizada. Para obtener más información, vea Office Customization Tool in Office 2010.

  • Directiva de grupo: se usa para definir las opciones de configuración de directivas de Office 2010 incluidas en las plantillas administrativas, y el sistema operativo exige esas opciones de configuración de directivas. En un entorno de Active Directory, los administradores pueden aplicar opciones de configuración de directivas en grupos de usuarios y equipos de un sitio, dominio o unidad organizativa a los que esté vinculado un GPO. La configuración de directivas verdaderas se escribe en las claves del Registro aprobadas para la directiva, y esta configuración tiene restricciones de SACL que impiden que los usuarios que no sean administradores puedan cambiarla. Los administradores pueden usar la directiva de grupo para crear configuraciones de escritorio con un alto nivel de administración. También pueden crear configuraciones con un bajo nivel de administración para satisfacer los requisitos empresariales y de seguridad de sus organizaciones. Para obtener más información acerca de la OCT, vea Office Customization Tool in Office 2010.