Administrar directiva de grupo en un dominio administrado de Azure Active Directory Domain Services

Artículo
11/05/2021
6 minutos para leer

La configuración de los objetos de usuario y de equipo en Azure Active Directory Domain Services (Azure AD DS) se suele administrar con objetos de directiva de grupo (GPO). Azure AD DS incluye GPO integrados para los contenedores de usuarios del controlador de dominio de AAD y equipos del controlador de dominio de AAD. Puede personalizar estos GPO integrados para configurar la directiva de grupo según las necesidades del entorno. Los miembros del grupo de administradores de Azure AD DC tienen privilegios de administración de directivas de grupo en el dominio de Azure AD DS y también pueden crear GPO personalizados y unidades organizativas (UO). Para más información sobre qué es la directiva de grupo y cómo funciona, consulte Introducción a la directiva de grupo.

En un entorno híbrido, las directivas de grupo configuradas en un entorno de AD DS local no se sincronizan con Azure AD DS. Para definir los valores de configuración de los usuarios o equipos en Azure AD DS, edite uno de los GPO predeterminados o cree un GPO personalizado.

En este artículo se muestra cómo se instalan las herramientas de Administración de directivas de grupo y, posteriormente, cómo se editan los GPO integrados y se crean otros personalizados.

Si le interesa la estrategia de administración de servidores, incluidas las máquinas en Azure y con conexión híbrida, considere la posibilidad de leer cómo convertir contenido de directiva de grupo en la característica de configuración de invitado de Azure Policy.

Antes de empezar

Para completar este artículo, necesitará los siguientes recursos y privilegios:

Una suscripción de Azure activa.
- Si no tiene una suscripción a Azure, cree una cuenta.
Un inquilino de Azure Active Directory asociado a su suscripción, ya sea sincronizado con un directorio en el entorno local o con un directorio solo en la nube.
- Si es necesario, cree un inquilino de Azure Active Directory o asocie una suscripción a Azure con su cuenta.
Un dominio administrado de Azure Active Directory Domain Services habilitado y configurado en su inquilino de Azure AD.
- Si es necesario, complete el tutorial para crear y configurar un dominio administrado de Azure Active Directory Domain Services.
Una máquina virtual de administración de Windows Server que esté unida al dominio administrado de Azure AD DS.
- Si es necesario, complete el tutorial para crear una máquina virtual de Windows Server y unirla a un dominio administrado.
Una cuenta de usuario que sea miembro del grupo de administradores de Azure AD DC en el inquilino de Azure AD.

Nota

Para usar las plantillas administrativas de la directiva de grupo, puede copiar las nuevas plantillas en la estación de trabajo de administración. Copie los archivos .admx en %SYSTEMROOT%\PolicyDefinitions y los archivos .adml de la configuración regional en %SYSTEMROOT%\PolicyDefinitions\[Language-CountryRegion], donde Language-CountryRegion coincide con el idioma y la región de los archivos .adml.

Por ejemplo, copie la versión Inglés - Estados Unidos de los archivos .adml en la carpeta \en-us.

Instalación de las herramientas de Administración de directivas de grupo

Para crear y configurar objetos de directiva de grupo (GPO), debe instalar las herramientas de Administración de directivas de grupo. Estas herramientas se pueden instalar como una característica en Windows Server. Para obtener más información sobre cómo instalar las herramientas administrativas en un cliente de Windows, consulte cómo se instalan las herramientas de administración remota del servidor (RSAT).

Inicie sesión en la máquina virtual de administración. Si quiere conocer los pasos para conectarse mediante Azure Portal, consulte Conexión a una máquina virtual de Windows Server.
Administrador del servidor debería abrirse de forma predeterminada al iniciar sesión en la máquina virtual. Si no es así, en el menú Inicio, seleccione Administrador del servidor.
En el Panel de información de la ventana Administrador del servidor, seleccione Agregar roles y características.
En la página Antes de comenzar del Asistente para agregar roles y características, seleccione Siguiente.
En Tipo de instalación, deje activada la opción Instalación basada en características o en roles y seleccione Siguiente.
En la página Selección de servidor, elija la máquina virtual actual del grupo de servidores, por ejemplo mivm.aaddscontoso.com, y seleccione Siguiente.
En la página Roles de servidor, haga clic en Siguiente.
En la página Características, seleccione la Administración de directivas de grupo.
En la página Confirmación, seleccione Instalar. Las herramientas de Administración de directivas de grupo pueden tardar un minuto o dos en instalarse.
Cuando finalice la instalación de la característica, haga clic en Cerrar para salir del Asistente para Agregar roles y características.

Apertura de la Consola de administración de directivas de grupo y edición de un objeto

Existen objetos de directiva de grupo (GPO) predeterminados para usuarios y equipos en un dominio administrado. Después de instalar la característica Administración de directivas de grupo en la sección anterior, vamos a ver y editar un GPO existente. En la sección siguiente, crearemos un GPO personalizado.

Nota

Para administrar la directiva de grupo en un dominio administrado, debe haber iniciado sesión en una cuenta de usuario que sea miembro del grupo Administradores del controlador de dominio de AAD.

En la pantalla Inicio, seleccione Herramientas administrativas. Se muestra una lista de las herramientas de administración disponibles, incluida la Administración de directivas de grupo, instalada en la sección anterior.
Para abrir la Consola de administración de directivas de grupo (GPMC), seleccione Administración de directivas de grupo.

Hay dos objetos de directiva de grupo integrados (GPO) en un dominio administrado: uno para el contenedor de equipos de AADDC y otro para el contenedor de usuarios de AADDC. Puede personalizar estos GPO para configurar la directiva de grupo según sea necesario en el dominio administrado.

En la consola de Administración de directivas de grupo, expanda el nodo Bosque: aaddscontoso.com. Después, expanda los nodos Dominios.

Existen dos contenedores integrados para los equipos del controlador de dominio de AAD y los usuarios del controlador de dominio de AAD. Cada uno de estos contenedores tiene aplicado un GPO predeterminado.
Estos GPO integrados se pueden personalizar para configurar directivas de grupo específicas en el dominio administrado. Haga clic con el botón derecho en uno de los GPO, como AADDC Computers GPO (GPO de equipos del controlador de dominio de AAD), y seleccione Editar…
Se abre la herramienta Editor de administración de directivas de grupo para que pueda personalizar el GPO, como Directivas de cuenta:

Cuando haya terminado, seleccione Archivo > Guardar para guardar la directiva. Los equipos actualizan la directiva de grupo de forma predeterminada cada 90 minutos y aplican los cambios realizados.

Creación de un objeto de directiva de grupo personalizado

Para agrupar opciones de configuración de directiva similares, lo habitual es crear GPO adicionales en lugar de aplicar todas las opciones necesarias en el mismo GPO predeterminado. Con Azure AD DS, puede crear o importar sus propios objetos de directiva de grupo personalizados y vincularlos a una unidad organizativa personalizada. Si tiene que crear primero una unidad organizativa personalizada, consulte Crear una unidad organizativa personalizada en un dominio administrado.

En la consola de Administración de directivas de grupo, seleccione la unidad organizativa (UO) personalizada, como MyCustomOU. Haga clic con el botón derecho en la unidad organizativa y seleccione Crear un GPO en este dominio y vincularlo aquí… :
Especifique un nombre para el nuevo GPO, como My custom GPO (Mi GPO personalizado), y seleccione Aceptar. También puede basar este GPO personalizado en un GPO existente y en un conjunto de opciones de directiva.
Se crea el GPO personalizado y se vincula a la unidad organizativa personalizada. Para configurar las opciones de la directiva, seleccione el GPO personalizado con el botón derecho y elija Editar… :
Se abre el Editor de administración de directivas de grupo para que pueda personalizar el GPO:

Cuando haya terminado, seleccione Archivo > Guardar para guardar la directiva. Los equipos actualizan la directiva de grupo de forma predeterminada cada 90 minutos y aplican los cambios realizados.

Pasos siguientes

Para obtener más información sobre las opciones de la directiva de grupo disponibles que se pueden configurar mediante la Consola de administración de directivas de grupo, vea Trabajo con elementos de preferencias de directiva de grupo.