Administrar directiva de grupo en un dominio administrado de Azure Active Directory Domain Services

La configuración de los objetos de usuario y de equipo en Azure Active Directory Domain Services (Azure AD DS) se suele administrar con objetos de directiva de grupo (GPO). Azure AD DS incluye GPO integrados para los contenedores de usuarios del controlador de dominio de AAD y equipos del controlador de dominio de AAD. Puede personalizar estos GPO integrados para configurar la directiva de grupo según las necesidades del entorno. Los miembros del grupo de administradores de Azure AD DC tienen privilegios de administración de directivas de grupo en el dominio de Azure AD DS y también pueden crear GPO personalizados y unidades organizativas (UO). Para más información sobre qué es la directiva de grupo y cómo funciona, consulte Introducción a la directiva de grupo.

En un entorno híbrido, las directivas de grupo configuradas en un entorno de AD DS local no se sincronizan con Azure AD DS. Para definir los valores de configuración de los usuarios o equipos en Azure AD DS, edite uno de los GPO predeterminados o cree un GPO personalizado.

En este artículo se muestra cómo se instalan las herramientas de Administración de directivas de grupo y, posteriormente, cómo se editan los GPO integrados y se crean otros personalizados.

Si le interesa la estrategia de administración de servidores, incluidas las máquinas en Azure y con conexión híbrida, considere la posibilidad de leer cómo convertir contenido de directiva de grupo en la característica de configuración de invitado de Azure Policy.

Antes de empezar

Para completar este artículo, necesitará los siguientes recursos y privilegios:

Nota

Para usar las plantillas administrativas de la directiva de grupo, puede copiar las nuevas plantillas en la estación de trabajo de administración. Copie los archivos .admx en %SYSTEMROOT%\PolicyDefinitions y los archivos .adml de la configuración regional en %SYSTEMROOT%\PolicyDefinitions\[Language-CountryRegion], donde Language-CountryRegion coincide con el idioma y la región de los archivos .adml.

Por ejemplo, copie la versión Inglés - Estados Unidos de los archivos .adml en la carpeta \en-us.

Instalación de las herramientas de Administración de directivas de grupo

Para crear y configurar objetos de directiva de grupo (GPO), debe instalar las herramientas de Administración de directivas de grupo. Estas herramientas se pueden instalar como una característica en Windows Server. Para obtener más información sobre cómo instalar las herramientas administrativas en un cliente de Windows, consulte cómo se instalan las herramientas de administración remota del servidor (RSAT).

  1. Inicie sesión en la máquina virtual de administración. Si quiere conocer los pasos para conectarse mediante Azure Portal, consulte Conexión a una máquina virtual de Windows Server.

  2. Administrador del servidor debería abrirse de forma predeterminada al iniciar sesión en la máquina virtual. Si no es así, en el menú Inicio, seleccione Administrador del servidor.

  3. En el Panel de información de la ventana Administrador del servidor, seleccione Agregar roles y características.

  4. En la página Antes de comenzar del Asistente para agregar roles y características, seleccione Siguiente.

  5. En Tipo de instalación, deje activada la opción Instalación basada en características o en roles y seleccione Siguiente.

  6. En la página Selección de servidor, elija la máquina virtual actual del grupo de servidores, por ejemplo mivm.aaddscontoso.com, y seleccione Siguiente.

  7. En la página Roles de servidor, haga clic en Siguiente.

  8. En la página Características, seleccione la Administración de directivas de grupo.

    Instalación de la Administración de directivas de grupo desde la página Características

  9. En la página Confirmación, seleccione Instalar. Las herramientas de Administración de directivas de grupo pueden tardar un minuto o dos en instalarse.

  10. Cuando finalice la instalación de la característica, haga clic en Cerrar para salir del Asistente para Agregar roles y características.

Apertura de la Consola de administración de directivas de grupo y edición de un objeto

Existen objetos de directiva de grupo (GPO) predeterminados para usuarios y equipos en un dominio administrado. Después de instalar la característica Administración de directivas de grupo en la sección anterior, vamos a ver y editar un GPO existente. En la sección siguiente, crearemos un GPO personalizado.

Nota

Para administrar la directiva de grupo en un dominio administrado, debe haber iniciado sesión en una cuenta de usuario que sea miembro del grupo Administradores del controlador de dominio de AAD.

  1. En la pantalla Inicio, seleccione Herramientas administrativas. Se muestra una lista de las herramientas de administración disponibles, incluida la Administración de directivas de grupo, instalada en la sección anterior.

  2. Para abrir la Consola de administración de directivas de grupo (GPMC), seleccione Administración de directivas de grupo.

    La Consola de administración de directivas de grupo se abre preparada para editar objetos de directiva de grupo

Hay dos objetos de directiva de grupo integrados (GPO) en un dominio administrado: uno para el contenedor de equipos de AADDC y otro para el contenedor de usuarios de AADDC. Puede personalizar estos GPO para configurar la directiva de grupo según sea necesario en el dominio administrado.

  1. En la consola de Administración de directivas de grupo, expanda el nodo Bosque: aaddscontoso.com. Después, expanda los nodos Dominios.

    Existen dos contenedores integrados para los equipos del controlador de dominio de AAD y los usuarios del controlador de dominio de AAD. Cada uno de estos contenedores tiene aplicado un GPO predeterminado.

    GPO integrados aplicados a los contenedores predeterminados de equipos y los usuarios del controlador de dominio de AAD

  2. Estos GPO integrados se pueden personalizar para configurar directivas de grupo específicas en el dominio administrado. Haga clic con el botón derecho en uno de los GPO, como AADDC Computers GPO (GPO de equipos del controlador de dominio de AAD), y seleccione Editar…

    Selección de la opción para editar uno de los GPO integrados

  3. Se abre la herramienta Editor de administración de directivas de grupo para que pueda personalizar el GPO, como Directivas de cuenta:

    Captura de pantalla del Editor de administración de directivas de grupo.

    Cuando haya terminado, seleccione Archivo > Guardar para guardar la directiva. Los equipos actualizan la directiva de grupo de forma predeterminada cada 90 minutos y aplican los cambios realizados.

Creación de un objeto de directiva de grupo personalizado

Para agrupar opciones de configuración de directiva similares, lo habitual es crear GPO adicionales en lugar de aplicar todas las opciones necesarias en el mismo GPO predeterminado. Con Azure AD DS, puede crear o importar sus propios objetos de directiva de grupo personalizados y vincularlos a una unidad organizativa personalizada. Si tiene que crear primero una unidad organizativa personalizada, consulte Crear una unidad organizativa personalizada en un dominio administrado.

  1. En la consola de Administración de directivas de grupo, seleccione la unidad organizativa (UO) personalizada, como MyCustomOU. Haga clic con el botón derecho en la unidad organizativa y seleccione Crear un GPO en este dominio y vincularlo aquí… :

    Creación de un GPO personalizado en la Consola de administración de directivas de grupo

  2. Especifique un nombre para el nuevo GPO, como My custom GPO (Mi GPO personalizado), y seleccione Aceptar. También puede basar este GPO personalizado en un GPO existente y en un conjunto de opciones de directiva.

    Especificación de un nombre para el nuevo GPO personalizado

  3. Se crea el GPO personalizado y se vincula a la unidad organizativa personalizada. Para configurar las opciones de la directiva, seleccione el GPO personalizado con el botón derecho y elija Editar… :

    Selección de la opción para editar el GPO personalizado

  4. Se abre el Editor de administración de directivas de grupo para que pueda personalizar el GPO:

    Personalización del GPO para configurar las opciones según sea necesario

    Cuando haya terminado, seleccione Archivo > Guardar para guardar la directiva. Los equipos actualizan la directiva de grupo de forma predeterminada cada 90 minutos y aplican los cambios realizados.

Pasos siguientes

Para obtener más información sobre las opciones de la directiva de grupo disponibles que se pueden configurar mediante la Consola de administración de directivas de grupo, vea Trabajo con elementos de preferencias de directiva de grupo.