Configuración de las directivas de seguridadSecurity policy settings

Se aplica aApplies to

  • Windows 10Windows 10

En este tema de referencia se describen los escenarios comunes, la arquitectura y los procesos para la configuración de seguridad.This reference topic describes the common scenarios, architecture, and processes for security settings.

La configuración de la directiva de seguridad son reglas que los administradores configuran en un equipo o en varios dispositivos con el fin de proteger los recursos de un dispositivo o red.Security policy settings are rules that administrators configure on a computer or multiple devices for the purpose of protecting resources on a device or network. La extensión Configuración de seguridad del complemento Editor de directivas de grupo local permite definir configuraciones de seguridad como parte de un objeto de directiva de grupo (GPO).The Security Settings extension of the Local Group Policy Editor snap-in allows you to define security configurations as part of a Group Policy Object (GPO). Los GPO están vinculados a contenedores de Active Directory, como sitios, dominios o unidades organizativas, y permiten administrar la configuración de seguridad de varios dispositivos desde cualquier dispositivo unido al dominio.The GPOs are linked to Active Directory containers such as sites, domains, or organizational units, and they enable you to manage security settings for multiple devices from any device joined to the domain. Las directivas de configuración de seguridad se usan como parte de la implementación de seguridad general para ayudar a proteger los controladores de dominio, los servidores, los clientes y otros recursos de la organización.Security settings policies are used as part of your overall security implementation to help secure domain controllers, servers, clients, and other resources in your organization.

La configuración de seguridad puede controlar:Security settings can control:

  • Autenticación de usuario en una red o dispositivo.User authentication to a network or device.
  • Los recursos a los que los usuarios pueden tener acceso.The resources that users are permitted to access.
  • Si se deben registrar las acciones de un usuario o grupo en el registro de eventos.Whether to record a user's or group's actions in the event log.
  • Pertenencia a un grupo.Membership in a group.

Para administrar configuraciones de seguridad para varios dispositivos, puede usar una de las siguientes opciones:To manage security configurations for multiple devices, you can use one of the following options:

  • Edite la configuración de seguridad específica en un GPO.Edit specific security settings in a GPO.
  • Use el complemento Plantillas de seguridad para crear una plantilla de seguridad que contenga las directivas de seguridad que desea aplicar y, a continuación, importe la plantilla de seguridad en un objeto de directiva de grupo.Use the Security Templates snap-in to create a security template that contains the security policies you want to apply, and then import the security template into a Group Policy Object. Una plantilla de seguridad es un archivo que representa una configuración de seguridad y se puede importar a un GPO, aplicarse a un dispositivo local o usarse para analizar la seguridad.A security template is a file that represents a security configuration, and it can be imported to a GPO, applied to a local device, or used to analyze security.

Para obtener más información sobre cómo administrar configuraciones de seguridad, consulta Administrar la configuración de la directiva de seguridad.For more info about managing security configurations, see Administer security policy settings.

La extensión Configuración de seguridad del Editor de directivas de grupo local incluye los siguientes tipos de directivas de seguridad:The Security Settings extension of the Local Group Policy Editor includes the following types of security policies:

  • Directivas de cuenta.Account Policies. Estas policías se definen en dispositivos; afectan a la forma en que las cuentas de usuario pueden interactuar con el equipo o el dominio.These polices are defined on devices; they affect how user accounts can interact with the computer or domain. Las directivas de cuenta incluyen los siguientes tipos de directivas:Account policies include the following types of policies:

    • Directiva de contraseñas.Password Policy. Estas directivas determinan la configuración de las contraseñas, como la aplicación y las duraciones.These policies determine settings for passwords, such as enforcement and lifetimes. Las directivas de contraseña se usan para cuentas de dominio.Password policies are used for domain accounts.
    • Directiva de bloqueo de cuentas.Account Lockout Policy. Estas directivas determinan las condiciones y la duración del tiempo que una cuenta se bloqueará fuera del sistema.These policies determine the conditions and length of time that an account will be locked out of the system. Las directivas de bloqueo de cuentas se usan para cuentas de usuario locales o de dominio.Account lockout policies are used for domain or local user accounts.
    • Directiva Kerberos.Kerberos Policy. Estas directivas se usan para cuentas de usuario de dominio; determinan la configuración relacionada con Kerberos, como la duración de los vales y la aplicación.These policies are used for domain user accounts; they determine Kerberos-related settings, such as ticket lifetimes and enforcement.
  • Directivas locales.Local Policies. Estas directivas se aplican a un equipo e incluyen los siguientes tipos de configuración de directiva:These policies apply to a computer and include the following types of policy settings:

    • Directiva de auditoría.Audit Policy. Especifique la configuración de seguridad que controla el registro de eventos de seguridad en el registro de seguridad en el equipo y especifica qué tipos de eventos de seguridad registrar (correcto, error o ambos).Specify security settings that control the logging of security events into the Security log on the computer, and specifies what types of security events to log (success, failure, or both).

      Nota

      Para dispositivos que ejecutan Windows 7 y versiones posteriores, se recomienda usar la configuración en Configuración de directiva de auditoría avanzada en lugar de la configuración de directiva de auditoría en Directivas locales.For devices running Windows 7 and later, we recommend to use the settings under Advanced Audit Policy Configuration rather than the Audit Policy settings under Local Policies.

    • Asignación de derechos de usuario.User Rights Assignment. Especificar los usuarios o grupos que tienen derechos de inicio de sesión o privilegios en un dispositivoSpecify the users or groups that have logon rights or privileges on a device

    • Opciones de seguridad.Security Options. Especifique la configuración de seguridad del equipo, como nombres de cuenta de administrador y de invitado; acceso a unidades de disquete y unidades de CD-ROM; instalación de controladores; mensajes de inicio de sesión; y así sucesivamente.Specify security settings for the computer, such as Administrator and Guest Account names; access to floppy disk drives and CD-ROM drives; installation of drivers; logon prompts; and so on.

  • Firewall de Windows con seguridad avanzada.Windows Firewall with Advanced Security. Especifica la configuración para proteger el dispositivo en la red mediante un firewall con estado que te permite determinar qué tráfico de red se permite pasar entre el dispositivo y la red.Specify settings to protect the device on your network by using a stateful firewall that allows you to determine which network traffic is permitted to pass between your device and the network.

  • Directivas de Administrador de listas de red.Network List Manager Policies. Especifica las opciones que puedes usar para configurar distintos aspectos de cómo se enumeran y muestran las redes en un dispositivo o en muchos dispositivos.Specify settings that you can use to configure different aspects of how networks are listed and displayed on one device or on many devices.

  • Directivas de clave pública.Public Key Policies. Especifica la configuración para controlar el cifrado del sistema de archivos, la protección de datos y el cifrado de unidad BitLocker, además de determinadas rutas de acceso de certificado y la configuración de servicios.Specify settings to control Encrypting File System, Data Protection, and BitLocker Drive Encryption in addition to certain certificate paths and services settings.

  • Directivas de restricción de software.Software Restriction Policies. Especifica la configuración para identificar el software y controlar su capacidad para ejecutarse en el dispositivo local, la unidad organizativa, el dominio o el sitio.Specify settings to identify software and to control its ability to run on your local device, organizational unit, domain, or site.

  • Directivas de control de aplicaciones.Application Control Policies. Especifique la configuración para controlar qué usuarios o grupos pueden ejecutar aplicaciones concretas en su organización en función de identidades únicas de archivos.Specify settings to control which users or groups can run particular applications in your organization based on unique identities of files.

  • Directivas de seguridad IP en el equipo local.IP Security Policies on Local Computer. Especifique la configuración para garantizar comunicaciones privadas y seguras a través de redes IP mediante el uso de servicios de seguridad criptográfica.Specify settings to ensure private, secure communications over IP networks through the use of cryptographic security services. IPsec establece la confianza y la seguridad desde una dirección IP de origen a una dirección IP de destino.IPsec establishes trust and security from a source IP address to a destination IP address.

  • Configuración avanzada de directiva de auditoría.Advanced Audit Policy Configuration. Especifica la configuración que controla el registro de eventos de seguridad en el registro de seguridad del dispositivo.Specify settings that control the logging of security events into the security log on the device. La configuración de configuración de directiva de auditoría avanzada proporciona un control más preciso sobre qué actividades supervisar en lugar de la configuración de directiva de auditoría en Directivas locales.The settings under Advanced Audit Policy Configuration provide finer control over which activities to monitor as opposed to the Audit Policy settings under Local Policies.

Administración de la configuración de seguridad basada en directivasPolicy-based security settings management

La extensión Configuración de seguridad de la directiva de grupo proporciona una infraestructura de administración integrada basada en directivas para ayudarle a administrar y aplicar las directivas de seguridad.The Security Settings extension to Group Policy provides an integrated policy-based management infrastructure to help you manage and enforce your security policies.

Puede definir y aplicar directivas de configuración de seguridad a usuarios, grupos y servidores de red y clientes a través de la directiva de grupo y los servicios de dominio de Active Directory (AD DS).You can define and apply security settings policies to users, groups, and network servers and clients through Group Policy and Active Directory Domain Services (AD DS). Se puede crear un grupo de servidores con la misma funcionalidad (por ejemplo, un servidor de Microsoft Web (IIS) y, a continuación, se pueden usar objetos de directiva de grupo para aplicar una configuración de seguridad común al grupo.A group of servers with the same functionality can be created (for example, a Microsoft Web (IIS) server), and then Group Policy Objects can be used to apply common security settings to the group. Si más adelante se agregan más servidores a este grupo, muchas de las opciones de seguridad comunes se aplican automáticamente, lo que reduce la implementación y el trabajo administrativo.If more servers are added to this group later, many of the common security settings are automatically applied, reducing deployment and administrative labor.

Escenarios comunes para usar directivas de configuración de seguridadCommon scenarios for using security settings policies

Las directivas de configuración de seguridad se usan para administrar los siguientes aspectos de seguridad: directiva de cuentas, directiva local, asignación de derechos de usuario, valores del Registro, listas de control de acceso a archivos y registro (ACL), modos de inicio de servicio y mucho más.Security settings policies are used to manage the following aspects of security: accounts policy, local policy, user rights assignment, registry values, file and registry Access Control Lists (ACLs), service startup modes, and more.

Como parte de la estrategia de seguridad, puede crear GPO con directivas de configuración de seguridad configuradas específicamente para los distintos roles de la organización, como controladores de dominio, servidores de archivos, servidores de miembros, clientes, entre otros.As part of your security strategy, you can create GPOs with security settings policies configured specifically for the various roles in your organization, such as domain controllers, file servers, member servers, clients, and so on.

Puede crear una estructura de unidad organizativa (OU) que agrupa los dispositivos según sus roles.You can create an organizational unit (OU) structure that groups devices according to their roles. El uso de UO es el mejor método para separar requisitos de seguridad específicos para los distintos roles de la red.Using OUs is the best method for separating specific security requirements for the different roles in your network. Este enfoque también permite aplicar plantillas de seguridad personalizadas a cada clase de servidor o equipo.This approach also allows you to apply customized security templates to each class of server or computer. Después de crear las plantillas de seguridad, se crea un nuevo GPO para cada una de las us y, a continuación, se importa la plantilla de seguridad (archivo .inf) en el nuevo GPO.After creating the security templates, you create a new GPO for each of the OUs, and then import the security template (.inf file) into the new GPO.

La importación de una plantilla de seguridad a un GPO garantiza que las cuentas a las que se aplica el GPO reciban automáticamente la configuración de seguridad de la plantilla cuando se actualice la configuración de directiva de grupo.Importing a security template to a GPO ensures that any accounts to which the GPO is applied automatically receive the template's security settings when the Group Policy settings are refreshed. En una estación de trabajo o servidor, la configuración de seguridad se actualiza a intervalos regulares (con un desplazamiento aleatorio de como máximo 30 minutos) y, en un controlador de dominio, este proceso se produce cada pocos minutos si se han producido cambios en cualquiera de las opciones de configuración de GPO que se aplican.On a workstation or server, the security settings are refreshed at regular intervals (with a random offset of at most 30 minutes), and, on a domain controller, this process occurs every few minutes if changes have occurred in any of the GPO settings that apply. La configuración también se actualiza cada 16 horas, independientemente de si se han producido cambios.The settings are also refreshed every 16 hours, whether or not any changes have occurred.

Nota

Estas opciones de actualización varían entre las versiones del sistema operativo y se pueden configurar.These refresh settings vary between versions of the operating system and can be configured.

Mediante el uso de configuraciones de seguridad basadas en directivas de grupo junto con la delegación de administración, puede asegurarse de que la configuración de seguridad, los derechos y el comportamiento específicos se aplican a todos los servidores y equipos de una unidad organizativa.By using Group Policy−based security configurations in conjunction with the delegation of administration, you can ensure that specific security settings, rights, and behavior are applied to all servers and computers within an OU. Este enfoque facilita la actualización de varios servidores con los cambios adicionales necesarios en el futuro.This approach makes it simple to update a number of servers with any additional changes required in the future.

Dependencias de otras tecnologías del sistema operativoDependencies on other operating system technologies

Para los dispositivos que son miembros de un dominio de Windows Server 2008 o posterior, las directivas de configuración de seguridad dependen de las siguientes tecnologías:For devices that are members of a Windows Server 2008 or later domain, security settings policies depend on the following technologies:

  • Servicios de dominio de Active Directory (AD DS)Active Directory Domain Services (AD DS)

    El servicio de directorio basado en Windows, AD DS, almacena información sobre objetos en una red y pone esta información a disposición de administradores y usuarios.The Windows-based directory service, AD DS, stores information about objects on a network and makes this information available to administrators and users. Con AD DS, puede ver y administrar objetos de red en la red desde una única ubicación y los usuarios pueden tener acceso a los recursos de red permitidos mediante un único inicio de sesión.By using AD DS, you can view and manage network objects on the network from a single location, and users can access permitted network resources by using a single logon.

  • Directiva de grupoGroup Policy

    La infraestructura de AD DS que permite la administración de configuración basada en directorios de la configuración de usuario y equipo en dispositivos que ejecutan Windows Server.The infrastructure within AD DS that enables directory-based configuration management of user and computer settings on devices running Windows Server. Mediante la directiva de grupo, puede definir configuraciones para grupos de usuarios y equipos, incluida la configuración de directivas, las directivas basadas en el Registro, la instalación de software, los scripts, el redireccionamiento de carpetas, los Servicios de instalación remota, el mantenimiento de Internet Explorer y la seguridad.By using Group Policy, you can define configurations for groups of users and computers, including policy settings, registry-based policies, software installation, scripts, folder redirection, Remote Installation Services, Internet Explorer maintenance, and security.

  • Sistema de nombres de dominio (DNS)Domain Name System (DNS)

    Un sistema de nomenclatura jerárquico que se usa para localizar nombres de dominio en Internet y en redes TCP/IP privadas.A hierarchical naming system used for locating domain names on the Internet and on private TCP/IP networks. DNS proporciona un servicio para asignar nombres de dominio DNS a direcciones IP y direcciones IP a nombres de dominio.DNS provides a service for mapping DNS domain names to IP addresses, and IP addresses to domain names. Esto permite a los usuarios, equipos y aplicaciones consultar DNS para especificar sistemas remotos mediante nombres de dominio completos en lugar de por direcciones IP.This allows users, computers, and applications to query DNS to specify remote systems by fully qualified domain names rather than by IP addresses.

  • WinlogonWinlogon

    Una parte del sistema operativo Windows que proporciona compatibilidad interactiva de inicio de sesión.A part of the Windows operating system that provides interactive logon support. Winlogon está diseñado en torno a un modelo de inicio de sesión interactivo que consta de tres componentes: el ejecutable de Winlogon, un proveedor de credenciales y cualquier número de proveedores de red.Winlogon is designed around an interactive logon model that consists of three components: the Winlogon executable, a credential provider, and any number of network providers.

  • Programa de instalaciónSetup

    La configuración de seguridad interactúa con el proceso de configuración del sistema operativo durante una instalación limpia o una actualización desde versiones anteriores de Windows Server.Security configuration interacts with the operating system setup process during a clean installation or upgrade from earlier versions of Windows Server.

  • Administrador de cuentas de seguridad (SAM)Security Accounts Manager (SAM)

    Un servicio de Windows usado durante el proceso de inicio de sesión.A Windows service used during the logon process. SAM mantiene la información de la cuenta de usuario, incluidos los grupos a los que pertenece un usuario.SAM maintains user account information, including groups to which a user belongs.

  • Autoridad de seguridad local (LSA)Local Security Authority (LSA)

    Subsistema protegido que autentica y registra a los usuarios en el sistema local.A protected subsystem that authenticates and logs users onto the local system. LSA también mantiene información sobre todos los aspectos de la seguridad local en un sistema, conocido colectivamente como la Directiva de seguridad local del sistema.LSA also maintains information about all aspects of local security on a system, collectively known as the Local Security Policy of the system.

  • Instrumental de administración de Windows (WMI)Windows Management Instrumentation (WMI)

    Una característica del sistema operativo Microsoft Windows, WMI es la implementación de Microsoft de Web-Based Enterprise Management (WBEM), que es una iniciativa del sector para desarrollar una tecnología estándar para obtener acceso a la información de administración en un entorno empresarial.A feature of the Microsoft Windows operating system, WMI is the Microsoft implementation of Web-Based Enterprise Management (WBEM), which is an industry initiative to develop a standard technology for accessing management information in an enterprise environment. WMI proporciona acceso a información sobre objetos en un entorno administrado.WMI provides access to information about objects in a managed environment. A través de WMI y la interfaz de programación de aplicaciones WMI (API), las aplicaciones pueden consultar y realizar cambios en la información estática en el repositorio del Modelo de información común (CIM) y la información dinámica mantenida por los distintos tipos de proveedores.Through WMI and the WMI application programming interface (API), applications can query for and make changes to static information in the Common Information Model (CIM) repository and dynamic information maintained by the various types of providers.

  • Conjunto de directivas resultante (RSoP)Resultant Set of Policy (RSoP)

    Una infraestructura de directiva de grupo mejorada que usa WMI para facilitar la planeación y depuración de la configuración de directivas.An enhanced Group Policy infrastructure that uses WMI in order to make it easier to plan and debug policy settings. RSoP proporciona métodos públicos que exponen lo que una extensión de la directiva de grupo haría en una situación de what-if y lo que la extensión ha hecho en una situación real.RSoP provides public methods that expose what an extension to Group Policy would do in a what-if situation, and what the extension has done in an actual situation. Esto permite a los administradores determinar fácilmente la combinación de configuraciones de directiva que se aplican a un usuario o dispositivo o se aplicarán a ellos.This allows administrators to easily determine the combination of policy settings that apply to, or will apply to, a user or device.

  • Administrador de control de servicios (SCM)Service Control Manager (SCM)

    Se usa para la configuración de los modos de inicio del servicio y la seguridad.Used for configuration of service startup modes and security.

  • RegistroRegistry

    Se usa para la configuración de valores y seguridad del Registro.Used for configuration of registry values and security.

  • Sistema de archivosFile system

    Se usa para la configuración de seguridad.Used for configuration of security.

  • Conversiones del sistema de archivosFile system conversions

    La seguridad se establece cuando un administrador convierte un sistema de archivos de FAT a NTFS.Security is set when an administrator converts a file system from FAT to NTFS.

  • Microsoft Management Console (MMC)Microsoft Management Console (MMC)

    La interfaz de usuario de la herramienta Configuración de seguridad es una extensión del complemento MMC del Editor de directivas de grupo local.The user interface for the Security Settings tool is an extension of the Local Group Policy Editor MMC snap-in.

Directivas de configuración de seguridad y directiva de grupoSecurity settings policies and Group Policy

La extensión Configuración de seguridad del Editor de directivas de grupo local forma parte del conjunto de herramientas de Security Configuration Manager.The Security Settings extension of the Local Group Policy Editor is part of the Security Configuration Manager tool set. Los siguientes componentes están asociados con la configuración de seguridad: un motor de configuración; un motor de análisis; una plantilla y una capa de interfaz de base de datos; lógica de integración de configuración; y la secedit.exe de línea de comandos.The following components are associated with Security Settings: a configuration engine; an analysis engine; a template and database interface layer; setup integration logic; and the secedit.exe command-line tool. El motor de configuración de seguridad es responsable de controlar las solicitudes de seguridad relacionadas con el editor de configuración de seguridad para el sistema en el que se ejecuta.The security configuration engine is responsible for handling security configuration editor-related security requests for the system on which it runs. El motor de análisis analiza la seguridad del sistema para una configuración determinada y guarda el resultado.The analysis engine analyzes system security for a given configuration and saves the result. La plantilla y la capa de interfaz de base de datos administran solicitudes de lectura y escritura desde y hacia la plantilla o base de datos (para almacenamiento interno).The template and database interface layer handles reading and writing requests from and to the template or database (for internal storage). La extensión Configuración de seguridad del Editor de directivas de grupo local controla la directiva de grupo desde un dispositivo local o basado en dominio.The Security Settings extension of the Local Group Policy Editor handles Group Policy from a domain-based or local device. La lógica de configuración de seguridad se integra con la instalación y administra la seguridad del sistema para una instalación limpia o una actualización a un sistema operativo Windows más reciente.The security configuration logic integrates with setup and manages system security for a clean installation or upgrade to a more recent Windows operating system. La información de seguridad se almacena en plantillas (archivos .inf) o en la base de datos Secedit.sdb.Security information is stored in templates (.inf files) or in the Secedit.sdb database.

En el diagrama siguiente se muestra La configuración de seguridad y las características relacionadas.The following diagram shows Security Settings and related features.

componentes relacionados con directivas de seguridad

  • Scesrv.dllScesrv.dll

    Proporciona la funcionalidad principal del motor de seguridad.Provides the core security engine functionality.

  • Scecli.dllScecli.dll

    Proporciona las interfaces del lado cliente al motor de configuración de seguridad y proporciona datos al conjunto resultante de directivas (RSoP).Provides the client-side interfaces to the security configuration engine and provides data to Resultant Set of Policy (RSoP).

  • Wsecedit.dllWsecedit.dll

    Extensión Configuración de seguridad del Editor de directivas de grupo local.The Security Settings extension of Local Group Policy Editor. scecli.dll se carga en wsecedit.dll para admitir la interfaz de usuario Configuración de seguridad.scecli.dll is loaded into wsecedit.dll to support the Security Settings user interface.

  • Gpedit.dllGpedit.dll

    Complemento MMC del Editor de directivas de grupo local.The Local Group Policy Editor MMC snap-in.

Arquitectura de extensión configuración de seguridadSecurity Settings extension architecture

La extensión Configuración de seguridad del Editor de directivas de grupo local forma parte de las herramientas de Security Configuration Manager, como se muestra en el siguiente diagrama.The Security Settings extension of the Local Group Policy Editor is part of the Security Configuration Manager tools, as shown in the following diagram.

Arquitectura de configuración de seguridadSecurity Settings Architecture

arquitectura de la configuración de directiva de seguridad

Las herramientas de configuración y análisis de configuración de configuración de seguridad incluyen un motor de configuración de seguridad, que proporciona equipo local (miembro que no es de dominio) y configuración basada en directiva de grupo y análisis de directivas de configuración de seguridad.The security settings configuration and analysis tools include a security configuration engine, which provides local computer (non-domain member) and Group Policy−based configuration and analysis of security settings policies. El motor de configuración de seguridad también admite la creación de archivos de directiva de seguridad.The security configuration engine also supports the creation of security policy files. Las características principales del motor de configuración de seguridad son scecli.dll y scesrv.dll.The primary features of the security configuration engine are scecli.dll and scesrv.dll.

En la siguiente lista se describen estas características principales del motor de configuración de seguridad y otras características relacionadas con la configuración de seguridad.The following list describes these primary features of the security configuration engine and other Security Settings−related features.

  • scesrv.dllscesrv.dll

    Este .dll se hospeda en services.exe y se ejecuta en el contexto del sistema local.This .dll is hosted in services.exe and runs under local system context. scesrv.dll funcionalidad principal de Security Configuration Manager, como importar, configurar, analizar y propagar directivas.scesrv.dll provides core Security Configuration Manager functionality, such as import, configure, analyze, and policy propagation.

    Scesrv.dll realiza la configuración y el análisis de varios parámetros del sistema relacionados con la seguridad llamando a las API del sistema correspondientes, incluidos LSA, SAM y el Registro.Scesrv.dll performs configuration and analysis of various security-related system parameters by calling corresponding system APIs, including LSA, SAM, and the registry.

    Scesrv.dll expone API como importar, exportar, configurar y analizar.Scesrv.dll exposes APIs such as import, export, configure, and analyze. Comprueba que la solicitud se realiza a través de LRPC (Windows XP) y genera un error en la llamada si no es así.It checks that the request is made over LRPC (Windows XP) and fails the call if it is not.

    La comunicación entre partes de la extensión Configuración de seguridad se produce mediante los métodos siguientes:Communication between parts of the Security Settings extension occurs by using the following methods:

    • Llamadas del modelo de objetos componentes (COM)Component Object Model (COM) calls
    • Llamada de procedimiento remoto local (LRPC)Local Remote Procedure Call (LRPC)
    • Protocolo ligero de acceso a directorios (LDAP)Lightweight Directory Access Protocol (LDAP)
    • Interfaces de servicio de Active Directory (ADSI)Active Directory Service Interfaces (ADSI)
    • Bloque de mensajes de servidor (SMB)Server Message Block (SMB)
    • API de Win32Win32 APIs
    • Llamadas de Instrumental de administración de Windows (WMI)Windows Management Instrumentation (WMI) calls

    En los controladores de dominio, scesrv.dll recibe notificaciones de cambios realizados en SAM y LSA que deben sincronizarse entre controladores de dominio.On domain controllers, scesrv.dll receives notifications of changes made to SAM and the LSA that need to be synchronized across domain controllers. Scesrv.dll estos cambios en el GPO de directiva de controlador de dominio predeterminado mediante el uso de API de modificación de plantillas scecli.dll proceso.Scesrv.dll incorporates those changes into the Default Domain Controller Policy GPO by using in-process scecli.dll template modification APIs. Scesrv.dll también realiza operaciones de configuración y análisis.Scesrv.dll also performs configuration and analysis operations.

  • Scecli.dllScecli.dll

    Se trata de la interfaz o contenedor del lado cliente que se scesrv.dll.This is the client-side interface or wrapper to scesrv.dll. scecli.dll se carga en Wsecedit.dll para admitir complementos MMC. El programa de instalación lo usa para configurar la seguridad y seguridad del sistema predeterminadas de archivos, claves del Registro y servicios instalados por los archivos .inf de la API de instalación.scecli.dll is loaded into Wsecedit.dll to support MMC snap-ins. It is used by Setup to configure default system security and security of files, registry keys, and services installed by the Setup API .inf files.

    La versión de línea de comandos de las interfaces de usuario de análisis y configuración de seguridad, secedit.exe, usa scecli.dll.The command-line version of the security configuration and analysis user interfaces, secedit.exe, uses scecli.dll.

    Scecli.dll implementa la extensión del lado cliente para la directiva de grupo.Scecli.dll implements the client-side extension for Group Policy.

    Scesrv.dll usa scecli.dll para descargar los archivos de directiva de grupo aplicables de SYSVOL con el fin de aplicar la configuración de seguridad de directiva de grupo al dispositivo local.Scesrv.dll uses scecli.dll to download applicable Group Policy files from SYSVOL in order to apply Group Policy security settings to the local device.

    Scecli.dll registra la aplicación de la directiva de seguridad en WMI (RSoP).Scecli.dll logs application of security policy into WMI (RSoP).

    Scesrv.dll filtro de directiva usa scecli.dll para actualizar el GPO de directiva de controlador de dominio predeterminado cuando se realizan cambios en SAM y LSA.Scesrv.dll policy filter uses scecli.dll to update Default Domain Controller Policy GPO when changes are made to SAM and LSA.

  • Wsecedit.dllWsecedit.dll

    Extensión Configuración de seguridad del complemento Editor de objetos de directiva de grupo.The Security Settings extension of the Group Policy Object Editor snap-in. Esta herramienta se usa para configurar las opciones de seguridad en un objeto de directiva de grupo para un sitio, dominio u unidad organizativa.You use this tool to configure security settings in a Group Policy Object for a site, domain, or organizational unit. También puede usar la configuración de seguridad para importar plantillas de seguridad a un GPO.You can also use Security Settings to import security templates to a GPO.

  • Secedit.sdbSecedit.sdb

    Se trata de una base de datos del sistema permanente que se usa para la propagación de directivas, incluida una tabla de configuración persistente con fines de reversión.This is a permanent system database used for policy propagation including a table of persistent settings for rollback purposes.

  • Bases de datos de usuarioUser databases

    Una base de datos de usuario es cualquier base de datos que no sea la base de datos del sistema creada por los administradores con fines de configuración o análisis de seguridad.A user database is any database other than the system database created by administrators for the purposes of configuration or analysis of security.

  • . Plantillas inf.Inf Templates

    Se trata de archivos de texto que contienen una configuración de seguridad declarativa.These are text files that contain declarative security settings. Se cargan en una base de datos antes de la configuración o el análisis.They are loaded into a database before configuration or analysis. Las directivas de seguridad de directivas de grupo se almacenan en archivos .inf en la carpeta SYSVOL de controladores de dominio, donde se descargan (mediante copia de archivos) y se combinan en la base de datos del sistema durante la propagación de directivas.Group Policy security policies are stored in .inf files on the SYSVOL folder of domain controllers, where they are downloaded (by using file copy) and merged into the system database during policy propagation.

Interacciones y procesos de directiva de configuración de seguridadSecurity settings policy processes and interactions

Para un dispositivo unido a un dominio, donde se administra la directiva de grupo, la configuración de seguridad se procesa junto con la directiva de grupo.For a domain-joined device, where Group Policy is administered, security settings are processed in conjunction with Group Policy. No todas las opciones de configuración se pueden configurar.Not all settings are configurable.

Procesamiento de directivas de grupoGroup Policy processing

Cuando se inicia un equipo y un usuario inicia sesión, la directiva de equipo y la directiva de usuario se aplican de acuerdo con la siguiente secuencia:When a computer starts and a user logs on, computer policy and user policy are applied according to the following sequence:

  1. Se inicia la red.The network starts. Se inicia el servicio de sistema de llamadas de procedimiento remoto (RPCSS) y el proveedor de convenciones de nomenclatura universal múltiple (MUP).Remote Procedure Call System Service (RPCSS) and Multiple Universal Naming Convention Provider (MUP) start.

  2. Se obtiene una lista ordenada de objetos de directiva de grupo para el dispositivo.An ordered list of Group Policy Objects is obtained for the device. La lista puede depender de estos factores:The list might depend on these factors:

    • Si el dispositivo forma parte de un dominio y, por lo tanto, está sujeto a la directiva de grupo a través de Active Directory.Whether the device is part of a domain and, therefore, subject to Group Policy through Active Directory.
    • Ubicación del dispositivo en Active Directory.The location of the device in Active Directory.
    • Si la lista de objetos de directiva de grupo ha cambiado.Whether the list of Group Policy Objects has changed. Si la lista de objetos de directiva de grupo no ha cambiado, no se realiza ningún procesamiento.If the list of Group Policy Objects has not changed, no processing is done.
  3. Se aplica la directiva de equipo.Computer policy is applied. Estas son las opciones de configuración de Configuración del equipo de la lista recopilada.These are the settings under Computer Configuration from the gathered list. Se trata de un proceso sincrónico de forma predeterminada y se produce en el siguiente orden: local, sitio, dominio, unidad organizativa, unidad organizativa secundaria, y así sucesivamente.This is a synchronous process by default and occurs in the following order: local, site, domain, organizational unit, child organizational unit, and so on. No aparece ninguna interfaz de usuario mientras se procesan las directivas de equipo.No user interface appears while computer policies are processed.

  4. Se ejecutan scripts de inicio.Startup scripts run. Esto está oculto y sincrónico de forma predeterminada; cada script debe completarse o tiempo de espera antes de que se inicie el siguiente.This is hidden and synchronous by default; each script must complete or time out before the next one starts. El tiempo de espera predeterminado es de 600 segundos.The default time-out is 600 seconds. Puede usar varias opciones de configuración de directiva para modificar este comportamiento.You can use several policy settings to modify this behavior.

  5. El usuario presiona CTRL+ALT+SUPR para iniciar sesión.The user presses CTRL+ALT+DEL to log on.

  6. Una vez validado el usuario, se carga el perfil de usuario; se rige por la configuración de directiva que está en vigor.After the user is validated, the user profile loads; it is governed by the policy settings that are in effect.

  7. Se obtiene una lista ordenada de objetos de directiva de grupo para el usuario.An ordered list of Group Policy Objects is obtained for the user. La lista puede depender de estos factores:The list might depend on these factors:

    • Si el usuario forma parte de un dominio y, por lo tanto, está sujeto a la directiva de grupo a través de Active Directory.Whether the user is part of a domain and, therefore, subject to Group Policy through Active Directory.
    • Si el procesamiento de directivas de bucle atrás está habilitado y, si es así, el estado (Merge o Replace) de la configuración de directiva de bucle atrás.Whether loopback policy processing is enabled, and if so, the state (Merge or Replace) of the loopback policy setting.
    • Ubicación del usuario en Active Directory.The location of the user in Active Directory.
    • Si la lista de objetos de directiva de grupo ha cambiado.Whether the list of Group Policy Objects has changed. Si la lista de objetos de directiva de grupo no ha cambiado, no se realiza ningún procesamiento.If the list of Group Policy Objects has not changed, no processing is done.
  8. Se aplica la directiva de usuario.User policy is applied. Estas son las opciones de configuración de configuración de usuario de la lista recopilada.These are the settings under User Configuration from the gathered list. Esto es sincrónico de forma predeterminada y en el siguiente orden: local, sitio, dominio, unidad organizativa, unidad organizativa secundaria, y así sucesivamente.This is synchronous by default and in the following order: local, site, domain, organizational unit, child organizational unit, and so on. No aparece ninguna interfaz de usuario mientras se procesan las directivas de usuario.No user interface appears while user policies are processed.

  9. Se ejecutan scripts de inicio de sesión.Logon scripts run. Los scripts de inicio de sesión basados en directivas de grupo están ocultos y asincrónicos de forma predeterminada.Group Policy−based logon scripts are hidden and asynchronous by default. El script de objeto de usuario se ejecuta en último lugar.The user object script runs last.

  10. Aparece la interfaz de usuario del sistema operativo que prescribe la directiva de grupo.The operating system user interface that is prescribed by Group Policy appears.

Almacenamiento de objetos de directiva de grupoGroup Policy Objects storage

Un objeto de directiva de grupo (GPO) es un objeto virtual que se identifica mediante un identificador único global (GUID) y se almacena en el nivel de dominio.A Group Policy Object (GPO) is a virtual object that is identified by a Globally Unique Identifier (GUID) and stored at the domain level. La información de configuración de directiva de un GPO se almacena en las dos ubicaciones siguientes:The policy setting information of a GPO is stored in the following two locations:

  • Contenedores de directivas de grupo en Active Directory.Group Policy containers in Active Directory.

    El contenedor de directiva de grupo es un contenedor de Active Directory que contiene propiedades de GPO, como información de versión, estado de GPO, además de una lista de otras configuraciones de componentes.The Group Policy container is an Active Directory container that contains GPO properties, such as version information, GPO status, plus a list of other component settings.

  • Plantillas de directiva de grupo en la carpeta de volumen del sistema (SYSVOL) de un dominio.Group Policy templates in a domain's system volume folder (SYSVOL).

    La plantilla directiva de grupo es una carpeta del sistema de archivos que incluye datos de directiva especificados por archivos .admx, configuración de seguridad, archivos de script e información sobre las aplicaciones que están disponibles para la instalación.The Group Policy template is a file system folder that includes policy data specified by .admx files, security settings, script files, and information about applications that are available for installation. La plantilla directiva de grupo se encuentra en la carpeta SYSVOL de la <domain> subcarpeta \Policies.The Group Policy template is located in the SYSVOL folder in the <domain>\Policies subfolder.

La estructura GROUP_POLICY_OBJECT proporciona información sobre un GPO en una lista de GPO, incluido el número de versión del GPO, un puntero a una cadena que indica la parte de Active Directory del GPO y un puntero a una cadena que especifica la ruta de acceso a la parte del sistema de archivos del GPO.The GROUP_POLICY_OBJECT structure provides information about a GPO in a GPO list, including the version number of the GPO, a pointer to a string that indicates the Active Directory portion of the GPO, and a pointer to a string that specifies the path to the file system portion of the GPO.

Orden de procesamiento de directivas de grupoGroup Policy processing order

La configuración de directiva de grupo se procesa en el orden siguiente:Group Policy settings are processed in the following order:

  1. Objeto de directiva de grupo local.Local Group Policy Object.

    Cada dispositivo que ejecuta un sistema operativo Windows a partir de Windows XP tiene exactamente un objeto de directiva de grupo que se almacena localmente.Each device running a Windows operating system beginning with Windows XP has exactly one Group Policy Object that is stored locally.

  2. Sitio.Site.

    Los objetos de directiva de grupo que se hayan vinculado al sitio se procesan a continuación.Any Group Policy Objects that have been linked to the site are processed next. El procesamiento es sincrónico y en un orden que especifique.Processing is synchronous and in an order that you specify.

  3. Dominio.Domain.

    El procesamiento de varios objetos de directiva de grupo vinculados al dominio es sincrónico y en un orden que se especifica.Processing of multiple domain-linked Group Policy Objects is synchronous and in an order you speciy.

  4. Unidades organizativas.Organizational units.

    Los objetos de directiva de grupo que están vinculados a la unidad organizativa más alta de la jerarquía de Active Directory se procesan primero, a continuación, los objetos de directiva de grupo que están vinculados a su unidad organizativa secundaria, y así sucesivamente.Group Policy Objects that are linked to the organizational unit that is highest in the Active Directory hierarchy are processed first, then Group Policy Objects that are linked to its child organizational unit, and so on. Por último, se procesan los objetos de directiva de grupo vinculados a la unidad organizativa que contiene el usuario o el dispositivo.Finally, the Group Policy Objects that are linked to the organizational unit that contains the user or device are processed.

En el nivel de cada unidad organizativa de la jerarquía de Active Directory, se pueden vincular uno, varios o ningún objeto de directiva de grupo.At the level of each organizational unit in the Active Directory hierarchy, one, many, or no Group Policy Objects can be linked. Si varios objetos de directiva de grupo están vinculados a una unidad organizativa, su procesamiento es sincrónico y en el orden que especifique.If several Group Policy Objects are linked to an organizational unit, their processing is synchronous and in an order that you specify.

Este orden significa que el objeto de directiva de grupo local se procesa primero y los objetos de directiva de grupo que están vinculados a la unidad organizativa de la que el equipo o el usuario es miembro directo se procesan en último lugar, lo que sobrescribe los objetos de directiva de grupo anteriores.This order means that the local Group Policy Object is processed first, and Group Policy Objects that are linked to the organizational unit of which the computer or user is a direct member are processed last, which overwrites the earlier Group Policy Objects.

Este es el orden de procesamiento predeterminado y los administradores pueden especificar excepciones a este orden.This is the default processing order and administrators can specify exceptions to this order. Un objeto de directiva de grupo vinculado a un sitio, dominio o unidad organizativa (no un objeto de directiva de grupo local) se puede establecer en Aplicado con respecto a ese sitio, dominio o unidad organizativa, de modo que no se pueda invalidar ninguna de sus opciones de configuración de directiva.A Group Policy Object that is linked to a site, domain, or organizational unit (not a local Group Policy Object) can be set to Enforced with respect to that site, domain, or organizational unit, so that none of its policy settings can be overridden. En cualquier sitio, dominio o unidad organizativa, puede marcar la herencia de directiva de grupo selectivamente como Bloquear herencia.At any site, domain, or organizational unit, you can mark Group Policy inheritance selectively as Block Inheritance. Sin embargo, siempre se aplican vínculos de objeto de directiva de grupo que se establecen en Aplicados y no se pueden bloquear.Group Policy Object links that are set to Enforced are always applied, however, and they cannot be blocked. Para obtener más información, vea Group Policy Basics – Part 2: Understanding Which GPOs to Apply.For more information see Group Policy Basics – Part 2: Understanding Which GPOs to Apply.

Procesamiento de directivas de configuración de seguridadSecurity settings policy processing

En el contexto del procesamiento de la directiva de grupo, la directiva de configuración de seguridad se procesa en el orden siguiente.In the context of Group Policy processing, security settings policy is processed in the following order.

  1. Durante el procesamiento de directivas de grupo, el motor de directiva de grupo determina qué directivas de configuración de seguridad se deben aplicar.During Group Policy processing, the Group Policy engine determines which security settings policies to apply.

  2. Si las directivas de configuración de seguridad existen en un GPO, la directiva de grupo invoca la extensión del lado cliente Configuración de seguridad.If security settings policies exist in a GPO, Group Policy invokes the Security Settings client-side extension.

  3. La extensión Configuración de seguridad descarga la directiva desde la ubicación adecuada, como un controlador de dominio específico.The Security Settings extension downloads the policy from the appropriate location such as a specific domain controller.

  4. La extensión Configuración de seguridad combina todas las directivas de configuración de seguridad según las reglas de prioridad.The Security Settings extension merges all security settings policies according to precedence rules. El procesamiento es de acuerdo con el orden de procesamiento de directivas de grupo de la unidad organizativa (OU) local, de sitio, de dominio y de organización, tal como se describe anteriormente en la sección "Orden de procesamiento de directivas de grupo".The processing is according to the Group Policy processing order of local, site, domain, and organizational unit (OU), as described earlier in the "Group Policy processing order" section. Si hay varios GPO en vigor para un dispositivo determinado y no hay directivas en conflicto, las directivas son acumulativas y se combinan.If multiple GPOs are in effect for a given device and there are no conflicting policies, then the policies are cumulative and are merged.

    En este ejemplo se usa la estructura de Active Directory que se muestra en la figura siguiente.This example uses the Active Directory structure shown in the following figure. Un equipo determinado es un miembro de OU2, al que está vinculado el GPO GroupMembershipPolGPO.A given computer is a member of OU2, to which the GroupMembershipPolGPO GPO is linked. Este equipo también está sujeto al GPO UserRightsPolGPO, que está vinculado a OU1, superior en la jerarquía.This computer is also subject to the UserRightsPolGPO GPO, which is linked to OU1, higher in the hierarchy. En este caso, no existen directivas en conflicto por lo que el dispositivo recibe todas las directivas contenidas en los GPO UserRightsPolGPO y GroupMembershipPolGPO.In this case, no conflicting policies exist so the device receives all of the policies contained in both the UserRightsPolGPO and the GroupMembershipPolGPO GPOs.

    Varios GPO y combinación de directivas de seguridadMultiple GPOs and Merging of Security Policy

    multiple gpos and merging of security policy

  5. Las directivas de seguridad resultantes se almacenan en secedit.sdb, la base de datos de configuración de seguridad.The resultant security policies are stored in secedit.sdb, the security settings database. El motor de seguridad obtiene los archivos de plantilla de seguridad y los importa a secedit.sdb.The security engine gets the security template files and imports them to secedit.sdb.

  6. Las directivas de configuración de seguridad se aplican a los dispositivos.The security settings policies are applied to devices. En la figura siguiente se muestra el procesamiento de la directiva de configuración de seguridad.The following figure illustrates the security settings policy processing.

Procesamiento de directivas de configuración de seguridadSecurity Settings Policy Processing

proceso e interacciones de la configuración de directiva de seguridad

Combinación de directivas de seguridad en controladores de dominioMerging of security policies on domain controllers

Las directivas de contraseña, Kerberos y algunas opciones de seguridad solo se combinan desde GPO que están vinculados en el nivel raíz del dominio.Password policies, Kerberos, and some security options are only merged from GPOs that are linked at the root level on the domain. Esto se hace para mantener la configuración sincronizada en todos los controladores de dominio del dominio.This is done to keep those settings synchronized across all domain controllers in the domain. Se combinan las siguientes opciones de seguridad:The following security options are merged:

  • Seguridad de red: forzar el cierre de sesión cuando expiren las horas de inicio de sesiónNetwork Security: Force logoff when logon hours expire
  • Cuentas: estado de la cuenta de administradorAccounts: Administrator account status
  • Cuentas: estado de la cuenta de invitadoAccounts: Guest account status
  • Cuentas: cambiar el nombre de la cuenta de administradorAccounts: Rename administrator account
  • Cuentas: cambiar el nombre de la cuenta de invitadoAccounts: Rename guest account

Existe otro mecanismo que permite que los cambios de directiva de seguridad realizados por los administradores mediante el uso de cuentas netas se combinen en el GPO de directiva de dominio predeterminado.Another mechanism exists that allows security policy changes made by administrators by using net accounts to be merged into the Default Domain Policy GPO. Los cambios en los derechos de usuario que se realizan mediante las API de la Autoridad de seguridad local (LSA) se filtran en el GPO de directiva de controladores de dominio predeterminados.User rights changes that are made by using Local Security Authority (LSA) APIs are filtered into the Default Domain Controllers Policy GPO.

Consideraciones especiales para controladores de dominioSpecial considerations for domain controllers

Si una aplicación está instalada en un controlador de dominio principal (PDC) con función de patrón de operaciones (también conocida como operaciones maestras únicas flexibles o FSMO) y la aplicación realiza cambios en los derechos de usuario o la directiva de contraseña, estos cambios deben comunicarse para garantizar que se produzca la sincronización entre controladores de dominio.If an application is installed on a primary domain controller (PDC) with operations master role (also known as flexible single master operations or FSMO) and the application makes changes to user rights or password policy, these changes must be communicated to ensure that synchronization across domain controllers occurs. Scesrv.dll recibe una notificación de los cambios realizados en el administrador de cuentas de seguridad (SAM) y LSA que deben sincronizarse entre los controladores de dominio y, a continuación, incorpora los cambios en el GPO de directiva de controlador de dominio predeterminado mediante las API de modificación de plantilla scecli.dll.Scesrv.dll receives a notification of any changes made to the security account manager (SAM) and LSA that need to be synchronized across domain controllers and then incorporates the changes into the Default Domain Controller Policy GPO by using scecli.dll template modification APIs.

Cuando se aplica la configuración de seguridadWhen security settings are applied

Después de editar las directivas de configuración de seguridad, la configuración se actualiza en los equipos de la unidad organizativa vinculada al objeto de directiva de grupo en las siguientes instancias:After you have edited the security settings policies, the settings are refreshed on the computers in the organizational unit linked to your Group Policy Object in the following instances:

  • Cuando se reinicia un dispositivo.When a device is restarted.
  • Cada 90 minutos en una estación de trabajo o servidor y cada 5 minutos en un controlador de dominio.Every 90 minutes on a workstation or server and every 5 minutes on a domain controller. Este intervalo de actualización es configurable.This refresh interval is configurable.
  • De forma predeterminada, la configuración de directiva de seguridad que proporciona la directiva de grupo también se aplica cada 16 horas (960 minutos), incluso si un GPO no ha cambiado.By default, Security policy settings delivered by Group Policy are also applied every 16 hours (960 minutes) even if a GPO has not changed.

Persistencia de la directiva de configuración de seguridadPersistence of security settings policy

La configuración de seguridad puede persistir incluso si una configuración ya no está definida en la directiva que la aplicó originalmente.Security settings can persist even if a setting is no longer defined in the policy that originally applied it.

La configuración de seguridad puede persistir en los siguientes casos:Security settings might persist in the following cases:

  • La configuración no se ha definido previamente para el dispositivo.The setting has not been previously defined for the device.
  • La configuración es para un objeto de seguridad del Registro.The setting is for a registry security object.
  • La configuración es para un objeto de seguridad del sistema de archivos.The settings are for a file system security object.

Todas las configuraciones aplicadas a través de la directiva local o a través de un objeto de directiva de grupo se almacenan en una base de datos local del equipo.All settings applied through local policy or through a Group Policy Object are stored in a local database on your computer. Cada vez que se modifica una configuración de seguridad, el equipo guarda el valor de configuración de seguridad en la base de datos local, que conserva un historial de todas las configuraciones que se han aplicado al equipo.Whenever a security setting is modified, the computer saves the security setting value to the local database, which retains a history of all the settings that have been applied to the computer. Si una directiva define primero una configuración de seguridad y, a continuación, ya no la define, la configuración toma el valor anterior en la base de datos.If a policy first defines a security setting and then no longer defines that setting, then the setting takes on the previous value in the database. Si no existe un valor anterior en la base de datos, la configuración no vuelve a nada y permanece definida tal como está.If a previous value does not exist in the database then the setting does not revert to anything and remains defined as is. Este comportamiento a veces se conoce como "tatuado".This behavior is sometimes referred to as "tattooing".

La configuración de seguridad del registro y del archivo mantendrá los valores aplicados a través de la directiva de grupo hasta que esa configuración se establezca en otros valores.Registry and file security settings will maintain the values applied through Group Policy until that setting is set to other values.

Permisos necesarios para que se aplique la directivaPermissions required for policy to apply

Tanto aplicar la directiva de grupo como los permisos de lectura son necesarios para que la configuración de un objeto de directiva de grupo se aplique a usuarios o grupos y equipos.Both Apply Group Policy and Read permissions are required to have the settings from a Group Policy Object apply to users or groups, and computers.

Directiva de seguridad de filtradoFiltering security policy

De forma predeterminada, todos los GPO tienen lectura y aplicación de directiva de grupo permitidos para el grupo Usuarios autenticados.By default, all GPOs have Read and Apply Group Policy both Allowed for the Authenticated Users group. El grupo Usuarios autenticados incluye usuarios y equipos.The Authenticated Users group includes both users and computers. Las directivas de configuración de seguridad se basan en el equipo.Security settings policies are computer-based. Para especificar qué equipos cliente tendrán o no se les aplicará un objeto de directiva de grupo, puede denegarles el permiso Aplicar directiva de grupo o Leer en ese objeto de directiva de grupo.To specify which client computers will or will not have a Group Policy Object applied to them, you can deny them either the Apply Group Policy or Read permission on that Group Policy Object. El cambio de estos permisos permite limitar el ámbito del GPO a un conjunto específico de equipos dentro de un sitio, dominio u UO.Changing these permissions allows you to limit the scope of the GPO to a specific set of computers within a site, domain, or OU.

Nota

No use el filtrado de directivas de seguridad en un controlador de dominio, ya que esto impediría que se aplique la directiva de seguridad.Do not use security policy filtering on a domain controller as this would prevent security policy from applying to it.

Migración de GPO que contienen configuración de seguridadMigration of GPOs containing security settings

En algunas situaciones, es posible que desee migrar GPO de un entorno de dominio a otro entorno.In some situations, you might want to migrate GPOs from one domain environment to another environment. Los dos escenarios más comunes son la migración de prueba a producción y la migración de producción a producción.The two most common scenarios are test-to-production migration, and production-to-production migration. El proceso de copia de GPO tiene implicaciones para algunos tipos de configuración de seguridad.The GPO copying process has implications for some types of security settings.

Los datos de un único GPO se almacenan en varias ubicaciones y en varios formatos; Algunos datos están contenidos en Active Directory y otros se almacenan en el recurso compartido SYSVOL en los controladores de dominio.Data for a single GPO is stored in multiple locations and in various formats; some data is contained in Active Directory and other data is stored on the SYSVOL share on the domain controllers. Algunos datos de directiva pueden ser válidos en un dominio, pero podrían no ser válidos en el dominio al que se copia el GPO.Certain policy data might be valid in one domain but might be invalid in the domain to which the GPO is being copied. Por ejemplo, los identificadores de seguridad (SID) almacenados en la configuración de la directiva de seguridad suelen ser específicos de dominio.For example, Security Identifiers (SIDs) stored in security policy settings are often domain-specific. Por lo tanto, copiar GPO no es tan sencillo como tomar una carpeta y copiarla de un dispositivo a otro.So copying GPOs is not as simple as taking a folder and copying it from one device to another.

Las siguientes directivas de seguridad pueden contener entidades de seguridad y pueden requerir algún trabajo adicional para moverlas correctamente de un dominio a otro.The following security policies can contain security principals and might require some additional work to successfully move them from one domain to another.

  • Asignación de derechos de usuarioUser rights assignment
  • Grupos restringidosRestricted groups
  • ServiciosServices
  • Sistema de archivosFile system
  • RegistroRegistry
  • El DACL de GPO, si decide conservarlo durante una operación de copiaThe GPO DACL, if you choose to preserve it during a copy operation

Para asegurarse de que los datos se copian correctamente, puede usar la Consola de administración de directivas de grupo (GPMC).To ensure that data is copied correctly, you can use Group Policy Management Console (GPMC). Al migrar un GPO de un dominio a otro, GPMC garantiza que todos los datos relevantes se copien correctamente.When migrating a GPO from one domain to another, GPMC ensures that all relevant data is properly copied. GPMC también ofrece tablas de migración, que se pueden usar para actualizar datos específicos de dominio a nuevos valores como parte del proceso de migración.GPMC also offers migration tables, which can be used to update domain-specific data to new values as part of the migration process. GPMC oculta gran parte de la complejidad que implica la migración de operaciones de GPO y proporciona mecanismos sencillos y confiables para realizar operaciones como copia y copia de seguridad de GPO.GPMC hides much of the complexity involved in the migrating GPO operations, and it provides simple and reliable mechanisms for performing operations such as copy and backup of GPOs.

En esta secciónIn this section

TemaTopic DescripciónDescription
Administrar la Configuración de las directivas de seguridadAdminister security policy settings En este artículo se de abordan diferentes métodos para administrar la configuración de la directiva de seguridad en un dispositivo local o en una organización pequeña o mediana.This article discusses different methods to administer security policy settings on a local device or throughout a small- or medium-sized organization.
Configuración de las directivas de seguridadConfigure security policy settings Describe los pasos para configurar una configuración de directiva de seguridad en el dispositivo local, en un dispositivo unido a un dominio y en un controlador de dominio.Describes steps to configure a security policy setting on the local device, on a domain-joined device, and on a domain controller.
Referencia de Configuración de las directivas de seguridadSecurity policy settings reference Esta referencia de la configuración de seguridad proporciona información sobre cómo implementar y administrar directivas de seguridad, incluidas las opciones de configuración y las consideraciones de seguridad.This reference of security settings provides information about how to implement and manage security policies, including setting options and security considerations.