15.9 Directiva de grupo de Windows (paquetes de usuarios / estaciones de trabajo)

Puede especificar y editar directivas de grupo para estaciones de trabajo con Windows 2000/XP (paquete de usuarios y estaciones de trabajo) y para Windows 2000/2003 Terminal Server (paquete de usuarios solamente).

NOTA:la directiva de grupo de Windows está incluida en el paquete de usuarios y en el paquete de estaciones de trabajo. Al configurarla en el paquete de usuarios, la directiva de grupo de Windows se aplicará a todos los usuarios asociados, independientemente de la estación de trabajo que utilicen. Cuando la configure en el paquete de estaciones de trabajo, se aplicará a todos los usuarios conectados a una estación de trabajo asociada.

Las secciones siguientes contienen más información:

15.9.1 Descripción de la directiva de grupo de Windows

La directiva de grupo de Windows es una ampliación de las directivas extensibles para Windows 2000/XP y Active Directory. Hay cruces en los ajustes entre la directiva de grupo de Windows y las directivas extensibles de Desktop Management, como ocurre en Configuración de usuario > Plantillas administrativas. Para obtener más información acerca de las directivas extensibles, consulte la Sección 15.2, Directivas extensibles de usuario o de equipo (paquetes de estaciones de trabajo/usuarios).

NOTA:no conviene configurar directivas de grupo en un controlador de dominio de Windows 2000 mediante ConsoleOne. Para editar directivas de grupo mediante ConsoleOne, debería utilizar una estación de trabajo con Windows 2000 para editar las directivas de grupo de Windows 2000, y una estación de trabajo con Windows XP para editar las directivas de grupo de Windows XP.

Si una estación de trabajo es miembro de un dominio de Active Directory pero está desconectada de éste, no se aplican las directivas de grupo de Windows incluidas en los paquetes de usuario y estación de trabajo.

Dado que sus efectos no son previsibles, no es posible utilizar ZENworks Desktop Management para distribuir directivas de grupo a estaciones de trabajo o usuarios donde Active Directory ya lo haya hecho (o viceversa). ZENworks Desktop Management no permite distribuir ajustes de Active Directory. Para obtener más información, consulte Sección 15.9.5, Importación de directivas de grupo de Windows (paquetes de usuarios y estaciones de trabajo).

Por los motivos que se explican a continuación, para importar esta directiva a Gestión de escritorios deberá utilizar las vías UNC, en vez de las unidades asignadas:

  • Los usuarios pueden cambiar los guiones de entrada, modificando las asignaciones de unidades.
  • Los objetos Estación de trabajo suelen entrar en el sistema antes que los usuarios y, por tanto, no hay asignaciones de unidades disponibles.

Siempre que el servidor esté disponible, se puede encontrar esta directiva con vías UNC.

Las directivas de grupo han cambiado mucho desde la versión inicial de ZENworks for Desktops 3. Consulte las siguientes secciones para obtener más información:

Directivas de grupo aditivas

En esta versión las directivas de grupo son aditivas. Esto significa que los ajustes de varias directivas de grupo de Windows están vigentes de forma acumulativa, en lugar de estarlo individualmente. Los ajustes de varias directivas de grupo de Windows pueden afectar a los usuarios y a las estaciones de trabajo. Las directivas empiezan por los ajustes de la directiva local Grupo de Windows y se aplican en modo inverso al orden de búsqueda de la directiva. Esto significa que el ajuste aplicado en primer lugar a una directiva tiene una prioridad inferior y cualquier otra directiva que tenga el mismo ajuste sobrescribe su valor.

Los ajustes de seguridad no son aditivos y los define la última directiva vigente.

Comprobación de revisiones

En esta versión, las directivas de grupo de Windows realizan un seguimiento de la revisión de las directivas vigentes. Mientras la lista de directivas vigentes y las revisiones correspondientes sigan siendo las mismas, no se procesan las directivas de grupo de Windows, sino que se utiliza la directiva de grupo almacenada en el caché.

NOTA:cada vez que se hace clic en el botón Editar directivas, cambia la revisión de una directiva de grupo de Windows y, por tanto, deben volver a procesarse todas las directivas.

Almacenamiento en caché de directivas de grupo

La última directiva de grupo de Windows procesada se almacena localmente en el caché. Esto reduce el tráfico de red al procesar las directivas de grupo de Windows sólo cuando es necesario. Si el UsuarioA entra en un equipo nuevo, las directivas de grupo vigentes que tenga asociadas se procesan y luego se almacenan en caché.

Si el UsuarioA sale y el UsuarioB entra, suponiendo que este último tenga las mismas directivas de grupo vigentes que el primero, la directiva de grupo almacenada localmente en caché se restaura en lugar de volver a procesarse todas las directivas de grupo de Windows. Si la lista de directivas vigentes es distinta o si cambia la revisión de una de ellas, las directivas de grupo de Windows se vuelven a procesar.

En Desktop Management se han añadido nuevas funciones a la implantación de directivas de grupo de Windows. Los ajustes de directiva de grupo de Windows de ambos paquetes, de usuarios y de estaciones de trabajo, pueden seguir vigentes aunque la estación de trabajo se desconecte de la red.

Ajustes constantes y volátiles

El administrador determina si las directivas de grupo de Windows son permanentes o volátiles. En un ajuste permanente, las directivas de grupo de Windows mantienen su definición desde el momento en que se definen, aunque un usuario entre sólo en una estación de trabajo y no en la red.

En un ajuste volátil, los ajustes de la directiva local de grupo de Windows original se restauran cada vez que:

  • El usuario sale (los ajustes de la directiva de grupo de usuario se eliminan).
  • Se apaga el sistema (los ajustes de la directiva de grupo de la estación de trabajo se eliminan).

Uso de directivas de grupo en servidores Terminal

Es posible configurar directivas de grupo de Windows en un paquete de usuarios para Windows 2000 y Windows 2003 Terminal Server. También puede usar la página de plataforma Windows 2000-2003 Terminal Server si desea definir directivas que se apliquen a ambas plataformas, a fin de facilitar la gestión de los servidores Terminal Server.

Al configurar directivas de grupo de Windows para servidores Terminal, tenga en cuenta lo siguiente:

  • Tipos de ajustes aplicados: sólo los ajustes de Configuración del usuario de Tipos de ajustes aplicados serán válidos para servidores Terminal Server. Las opciones Configuración del equipo y Ajustes de seguridad no están disponibles para servidores Terminal Server.

  • Guiones de salida: Los entornos de Terminal Server no permiten usar guiones de salida de sesión.

15.9.2 Configuración de la directiva de grupo de Windows en el paquete de usuarios

  1. En ConsoleOne, haga clic con el botón derecho en Paquete de usuarios, después haga clic en Propiedades y, a continuación, en la página de la plataforma adecuada.

    Cuando elija la página de plataforma adecuada, tenga en cuenta lo siguiente:

    • Windows NT: Para obtener más información sobre la compatibilidad de Desktop Management con la plataforma Windows NT, consulte Interoperabilidad con estaciones de trabajo con Windows NT 4 en la Guía de instalación de ZENworks 7 Desktop Management de Novell.

    • Página de plataforma Windows NT-2000-XP: Dadas las diferencias entre Windows 2000 y Windows XP respecto a la manera en la que se guardan los ajustes de seguridad, no podrá utilizar la página de la plataforma Windows NT-2000-XP para editar la directiva de grupo de Windows. En Windows 2000 los ajustes de seguridad se guardan en el archivo gpttml.inf, y en Windows XP en el archivo xpsec.dat. Los dos archivos están en el directorio \políticas de grupo\machine\microsoft\windows nt\secedit.

      En ZENworks 7 se ha inhabilitado la opción Editar de la página de plataforma Windows NT-2000-XP: deberá utilizar una de las páginas de plataforma específicas para editar directivas de grupo.

  2. Marque la casilla de verificación situada bajo la columna Habilitado para la directiva de grupo de Windows.

    De este modo se selecciona y habilita la directiva.

  3. Haga clic en Propiedades para mostrar la página Directivas de grupo de Windows.

    La página Directivas de grupo de Windows.

  4. Especifique la ubicación de red para las directivas de grupo nuevas o existentes.

    Asegúrese de que los usuarios tienen derechos suficientes para acceder a esta ubicación de red.

    Si utiliza una variable de entorno en el campo Ubicación de red de directivas de grupo nuevas/existentes, defina primero la variable de entorno en la estación de trabajo de gestión en la que esté ejecutando ConsoleOne y en cualquier estación de trabajo que reciba la directiva de grupo. También debe salir y reiniciar ConsoleOne para que se reconozca la variable.

  5. (Condicional) Si desea importar directivas de grupo desde Active Directory, haga clic en Importar directiva.

    Para obtener más información, consulte Sección 15.9.5, Importación de directivas de grupo de Windows (paquetes de usuarios y estaciones de trabajo).

  6. (Condicional) Si desea editar las directivas de grupo existentes, haga clic en Editar directivas.

    Para obtener más información, consulte Sección 15.9.4, Edición de las directivas de grupo de Windows existentes (paquetes de usuarios y estaciones de trabajo).

  7. (Opcional) Marque la casilla de verificación Las directivas de grupo siguen estando vigentes cuando el usuario salga para indicar que las directivas de grupo empujadas sigan vigentes en el escritorio local de Windows después de que el usuario salga de la sesión.

    IMPORTANTE:no es recomendable utilizar el ajuste Las directivas de grupo siguen estando vigentes cuando el usuario salga ni el ajuste Configuración del usuario del caché en un entorno en el que las directivas de grupo de usuarios se empujan a diferentes usuarios en estaciones de trabajo comunes.

  8. (Opcional) Marque la casilla de verificación Configuración del usuario del caché.

    Guardar en caché los ajustes de configuración del usuario no es lo mismo que marcar la casilla de verificación Las directivas de grupo siguen estando vigentes cuando el usuario salga.

    La opción Las directivas de grupo siguen estando vigentes cuando el usuario salga permite al administrador conservar los ajustes de las directivas de grupo del último usuario que haya iniciado sesión. La limitación de este método es que cualquier usuario que entre localmente (sólo estación de trabajo) recibe los ajustes de las directivas de grupos de la última persona que se entró en la red desde esa estación de trabajo. Si fue un administrador el último que entró en la red desde una estación de trabajo concreta, en las entradas locales siguientes el usuario recibirá los ajustes de las directivas del administrador.

    Para evitar esta situación, marque la casilla de verificación Configuración del usuario del caché para permitir que se guarden en caché los ajustes de cada usuario.

    Considere lo siguiente antes de permitir guardar en caché los ajustes de la directiva de grupo de Windows de paquete de usuarios.

    • La función de ajustes del usuario del caché funciona con NetWare o Windows en segundo plano. Si está utilizando un servidor Windows en segundo plano, considere lo siguiente:
      • El usuario debe conectarse con una cuenta de usuario local, no con una cuenta de dominio guardada en el caché. Los ajustes de la directiva de grupo de Windows se aplican a las cuentas de dominio siempre que el usuario esté conectado al dominio. Cuando el usuario no se conecta al dominio, pero utiliza una cuenta de dominio guardada en el caché, no se aplican los ajustes de la directiva de grupo de Windows de Gestión de escritorios.
      • Si almacena archivos de la directiva de grupo en un servidor Active Directory, el nombre de usuario y la contraseña de Active Directory deberán coincidir con las credenciales de eDirectory.
    • Los usuarios deben tener cuentas de usuario locales. Los ajustes de la directiva de grupo de Windows se guardan en el caché del perfil del usuario local, de manera que los usuarios con diferentes directivas de grupo de Windows vigentes deben tener diferentes cuentas de usuario locales.
    • Cada usuario debe tener un perfil en el equipo en el que va a guardar los ajustes en el caché. Puede proporcionar este perfil utilizando cuentas de usuario locales o mediante cuentas de usuario local dinámico (DLU), pero no se puede eliminar la cuenta. Si la directiva de DLU elimina la cuenta del usuario local (utilizando una cuenta de usuario volátil o mediante una cuenta de usuario volátil caducada guardada en caché), el usuario no podrá conectarse localmente.
    • Sólo se guardan en caché los ajustes del archivo \user\registry.pol. Son, en líneas generales, los ajustes de usuario del editor de directivas de grupo, excepto los guiones de inicio y fin de sesión (que se guardan en la carpeta Scripts en \user,, por tanto, no se almacenan en caché).

    Si marca la casilla de verificación Configuración del usuario del caché, se guardarán los ajustes de configuración del usuario de las directivas de grupo Windows vigentes de cada usuario en el perfil local de cada usuario. Cuando los usuarios entran localmente, sus ajustes se leen y se aplican desde la copia guardada en caché del archivo registry.pol en sus perfiles de usuario. Los únicos ajustes guardados en caché son los almacenados en el archivo registry.pol de la carpeta \user. Pero en el caché no se guardan otros ajustes, como por ejemplo los guiones de inicio y final de sesión, los ajustes del equipo y los ajustes de seguridad.

    IMPORTANTE:no es recomendable utilizar el ajuste Las directivas de grupo siguen estando vigentes cuando el usuario salga ni el ajuste Configuración del usuario del caché en un entorno en el que las directivas de grupo de usuarios se empujan a diferentes usuarios en estaciones de trabajo comunes.

  9. Marque las opciones oportunas en el recuadro Tipos de ajustes aplicados.

    Estas opciones permiten empujar los ajustes del usuario de Windows, del equipo y de seguridad con una directiva de usuario o de estación de trabajo. Esto es diferente a las versiones anteriores, en las que los ajustes de usuario se empujaban con paquetes de usuarios y los ajustes de seguridad y de equipo con paquetes de estaciones de trabajo.

    Configuración del usuario: marque esta opción para enviar la información de los ajustes de Configuración del usuario con la directiva de grupo de Windows.

    Configuración del equipo: marque esta opción para enviar la información de los ajustes de Configuración del equipo (salvo de Ajustes de seguridad) con la directiva de grupo de Windows.

    Ajustes de seguridad: marque esta opción para enviar la información de ajustes de seguridad de Windows con la directiva de grupo de Windows. Al marcar esta opción se aplican todos los ajustes de seguridad de Configuración del equipo > Ajustes de Windows > Ajustes de seguridad, incluidas las directivas de cuenta, las directivas locales, las directivas de clave pública y las directivas de seguridad IP en el equipo local. > > > No es posible enviar directivas individuales. Además, las directivas no son aditivas.

    Sólo los ajustes de Configuración del usuario de Tipos de ajustes aplicados serán válidos para servidores Terminal Server. Las opciones Configuración del equipo y Ajustes de seguridad no están disponibles para servidores Terminal Server.

  10. Haga clic en la pestaña Programación de directivas y seleccione un tipo de programación:

    • Programación del paquete
    • Evento
    • Diariamente
    • Semanalmente
    • Mensualmente
    • Anualmente

    Puede hacer clic en Ajustes avanzados para definir más ajustes, como Conclusión, Fallo, Personificación, Prioridad y Límite de tiempo. Para obtener detalles sobre cada uno de estos ajustes, haga clic en el botón Ayuda de cada página.

  11. Haga clic en Aceptar para guardar la directiva.

  12. Cuando haya terminado de configurar todas las directivas de este paquete, continúe con los pasos de Sección 15.13, Asociación del paquete de usuarios o de estaciones de trabajo para asociar el paquete de directivas.

15.9.3 Configuración de la directiva de grupo de Windows en el paquete de estaciones de trabajo

  1. En ConsoleOne, haga clic con el botón derecho en el paquete de estaciones de trabajo, después haga clic en Propiedades y, a continuación, en la página de la plataforma adecuada.

    Cuando elija la página de plataforma adecuada, tenga en cuenta lo siguiente:

    • Windows NT: Para obtener más información sobre la compatibilidad de Desktop Management con la plataforma Windows NT, consulte Interoperabilidad con estaciones de trabajo con Windows NT 4 en la Guía de instalación de ZENworks 7 Desktop Management de Novell.

    • Página de plataforma Windows NT-2000-XP: Dadas las diferencias entre Windows 2000 y Windows XP respecto a la manera en la que se guardan los ajustes de seguridad, no podrá utilizar la página de la plataforma Windows NT-2000-XP para editar la directiva de grupo de Windows. En Windows 2000 los ajustes de seguridad se guardan en el archivo gpttml.inf, y en Windows XP en el archivo xpsec.dat. Los dos archivos están en el directorio \políticas de grupo\machine\microsoft\windows nt\secedit.

      En ZENworks 7 se ha inhabilitado la opción Editar de la página de plataforma Windows NT-2000-XP: deberá utilizar una de las páginas de plataforma específicas para editar directivas de grupo.

  2. Marque la casilla de verificación situada bajo la columna Habilitado para la directiva de grupo de Windows.

    De este modo se selecciona y habilita la directiva.

  3. Haga clic en Propiedades para mostrar la página Directivas de grupo de Windows.

    La página Directivas de grupo de Windows.

  4. Especifique la ubicación de red para las directivas de grupo nuevas o existentes.

    Asegúrese de que los usuarios tienen derechos suficientes para acceder a esta ubicación de red.

    Si utiliza una variable de entorno en el campo Ubicación de red de directivas de grupo nuevas/existentes, defina primero la variable de entorno en la estación de trabajo de gestión en la que esté ejecutando ConsoleOne y en cualquier estación de trabajo que reciba la directiva de grupo. También debe salir y reiniciar ConsoleOne para que se reconozca la variable.

  5. (Condicional) Si desea importar directivas de grupo desde Active Directory, haga clic en Importar directiva.

    Para obtener más información, consulte Sección 15.9.5, Importación de directivas de grupo de Windows (paquetes de usuarios y estaciones de trabajo).

  6. (Condicional) Si desea editar las directivas de grupo existentes, haga clic en Editar directivas.

    Para obtener más información, consulte Sección 15.9.4, Edición de las directivas de grupo de Windows existentes (paquetes de usuarios y estaciones de trabajo).

  7. (Opcional) Marque la casilla de verificación Mantener ajustes de la estación de trabajo.

    Marque esta opción para indicar que todos los ajustes de la estación de trabajo asistidos por Desktop Management (de usuario, de equipo y de seguridad) en la directiva de grupo de Windows del paquete de estaciones de trabajo pueden permanecer vigentes (se guardan en el caché) independientemente de la conexión a la red.

    Considere lo siguiente antes de permitir guardar en caché los ajustes de la directiva de grupo de Windows del paquete de estaciones de trabajo.

    • La función Mantener ajustes de la estación de trabajo funciona con NetWare o Windows en el sistema de apoyo. Si está utilizando un servidor Windows en el sistema de apoyo y almacena los archivos de directivas de grupo de Windows en un servidor Windows, la estación de trabajo deberá ser miembro de dicho dominio.
    • Para utilizar la opción de mantener ajustes, tiene que dejar deshabilitada la opción Asistencia de retorno de bucle de directiva de grupo en la directiva de grupo de Windows asociada a las estaciones de trabajo cuyos ajustes desea guardar en el caché (esto incluye las opciones de modo Reemplazar o modo Combinar). > Al no habilitar la asistencia de retorno de bucle, en caso de ajustes contradictorios, la configuración de la directiva del usuario tendrá prioridad sobre la configuración de la directiva de grupo de Windows del paquete Estación de trabajo.

    Al marcar la casilla de verificación Mantener ajustes de la estación de trabajo se aplicarán los ajustes de las directivas de grupo de Windows vigentes de la estación de trabajo que ya están almacenadas en directorio_windows\system32\group policy.wkscache, aunque dicha estación de trabajo no pueda entrar en la red como objeto Estación de trabajo (como ocurre cuando está desconectada de la red).

  8. Marque las opciones oportunas en el recuadro Tipos de ajustes aplicados.

    Estas opciones permiten empujar los ajustes del usuario de Windows, del equipo y de seguridad con una directiva de usuario o de estación de trabajo. Esto es diferente a las versiones anteriores, en las que los ajustes de usuario se empujaban con paquetes de usuarios y los ajustes de seguridad y de equipo con paquetes de estaciones de trabajo.

    Configuración del usuario: marque esta opción para empujar los ajustes de Configuración del usuario con la directiva de grupo de Windows.

    Configuración del equipo: marque esta opción para empujar los ajustes de Configuración del equipo (salvo de Ajustes de seguridad) con la directiva de grupo de Windows.

    Ajustes de seguridad: marque esta opción para empujar los ajustes de seguridad de Windows con la directiva de grupo de Windows. Al marcar esta opción se aplican todos los ajustes de seguridad de Configuración del equipo > Ajustes de Windows > Ajustes de seguridad, incluidas las directivas de cuenta, las directivas locales, las directivas de clave pública y las directivas de seguridad IP en el equipo local. > > > No es posible enviar directivas individuales. Además, las directivas no son aditivas.

  9. (Opcional) Marque la casilla de verificación Asistencia de retorno de bucle de directiva de grupo y, a continuación, seleccione un modo.

    Al marcar esta opción, dará prioridad a las directivas de paquete de estaciones de trabajo frente a las de paquete de usuarios. La asistencia de retorno de bucle tiene dos modos, Reemplazar y Combinar:

    No aplicar los ajustes de directiva de usuario (modo Reemplazar): marque esta opción para omitir todos los ajustes de directivas de usuario. Se aplicarán los ajustes de directiva de estación de trabajo.

    Aplicar los ajustes de directiva de estación de trabajo al final (modo Combinar): marque esta opción para aplicar primero los ajustes de directivas de usuario y después los de las directivas de estación de trabajo. Esto le permite aplicar los ajustes de usuario sobrescribiendo los ajustes que se contradicen con los de la estación de trabajo. Si un ajuste de usuario no es contradictorio, permanece vigente.

  10. Haga clic en la pestaña Programación de directivas y seleccione un tipo de programación:

    • Programación del paquete
    • Evento
    • Diariamente
    • Semanalmente
    • Mensualmente
    • Anualmente

    Debido a que los archivos del escritorio de Windows tardan menos en cargarse que los ajustes de directivas de grupo, algunas de estas directivas del paquete Estación de trabajo podrían comportarse de manera extraña si están programadas para que se ejecuten cuando el usuario entra en el sistema. En concreto, no se realizan cambios en los ajustes del escritorio (por ejemplo, ocultar Mis sitios de red, ocultar todos los iconos del escritorio, etc.) ni tampoco tienen lugar los programas que haya configurado para que se ejecuten cuando el usuario entra en el sistema mediante el uso de un guión de entrada. Si el usuario sale y vuelve a entrar, los ajustes se mostrarán correctamente.

    Para evitarlo, no configure las directivas de grupo del paquete Estación de trabajo para que se ejecuten cuando el usuario entre al sistema. Configúrelas para que se ejecuten al iniciar el sistema, diariamente o en alguna otra programación periódica.

    Si configura directivas de grupo para ejecutar guiones de inicio y programa dichas directivas para que se ejecuten al iniciar el sistema, marque la opción Mantener ajustes de la estación de trabajo de Paso 7. Como Windows 2000/SP busca y ejecuta guiones de inicio antes de que el Gestor de estaciones de trabajo autentique y aplique directivas, puede que no se ejecuten las directivas de grupo configuradas para ejecutar guiones de inicio si éstas se programan para ejecutarse al iniciarse el sistema. Si selecciona la opción Mantener ajustes de la estación de trabajo, los ajustes de la directivas de grupo del paquete de estaciones de trabajo (y los guiones de inicio) se guardarán en el caché y se aplicarán correctamente la siguiente vez que se inicie el sistema.

    Puede hacer clic en Ajustes avanzados para definir más ajustes, como Conclusión, Fallo, Personificación, Prioridad y Límite de tiempo. Para obtener detalles sobre cada uno de estos ajustes, haga clic en el botón Ayuda de cada página.

  11. Haga clic en Aceptar para guardar la directiva.

  12. Cuando haya terminado de configurar todas las directivas de este paquete, continúe con los pasos de Sección 15.13, Asociación del paquete de usuarios o de estaciones de trabajo para asociar el paquete de directivas.

15.9.4 Edición de las directivas de grupo de Windows existentes (paquetes de usuarios y estaciones de trabajo)

  1. En ConsoleOne, haga clic con el botón derecho en Paquete de usuarios o en Paquete de estaciones de trabajo, después haga clic en Propiedades y, a continuación, en la página de la plataforma correspondiente.

  2. Marque la casilla de verificación situada bajo la columna Habilitado para la directiva de grupo de Windows.

    De este modo se selecciona y habilita la directiva.

  3. Haga clic en Propiedades para mostrar la página Directivas de grupo de Windows.

  4. Especifique la ubicación de red para las directivas de grupo nuevas o existentes.

  5. Haga clic en Editar directivas.

    De esta manera, se lanza el editor de Microsoft Management Console, donde puede editar tanto directivas de paquete de usuarios como directivas de paquete de estaciones de trabajo. Para obtener más información, haga clic en Ayuda en los recuadros de diálogo. Después de editar la directiva, haga clic en el botón Cerrar.

    Cuando edite directivas de grupo, tenga en cuenta lo siguiente:

    • Vía del directorio: Asegúrese de que ha seleccionado la vía del directorio correcta porque podría destruir datos. Se suprimirán todos los archivos del directorio seleccionado, así como los subdirectorios \adm, \user y \machine antes de copiarse allí la directiva de grupo de Active Directory.

    • Ajustes de seguridad que no se pueden editar en Windows XP: Debido a unos cambios en Windows XP, no es posible editar en la actualidad los siguientes ajustes de seguridad de Windows XP mediante Gestión de escritorios:

      • En Configuración del equipo > Ajustes de Windows > Configuración de seguridad > Directivas de cuenta > Directivas de contraseña:

         Las contraseñas deben cumplir los requerimientos de complejidad    Almacenar contraseña utilizando cifrado reversible.

      • En Configuración de seguridad > Directivas locales > Opciones de seguridad:

         Acceso de red: permitir traducción SID/nombre anónima    Cuentas: Estado de la cuenta Administrador    Cuentas: Estado de la cuenta Guest

    • Versión del sistema operativo y comprobación del nivel de Service Pack en ZENworks 7: ZENworks 7 puede ahora comprobar la versión del sistema operativo y el nivel del Service Pack mientras se editan las directivas de grupo en todas las plataformas en las que puede editar directivas de grupo (Windows 2000, Windows XP y Windows Server 2003). Por ejemplo, si se ha creado una directiva de grupo en una estación de trabajo con Windows XP SP1 o versiones anteriores e intenta editarla en una estación de trabajo con Windows XP SP2, ZENworks muestra un recuadro de diálogo de advertencia. ZENworks también le prohíbe editar una directiva de grupo creada en una estación de trabajo con Windows XP SP2 si está empleando una estación de trabajo con Windows XP o Windows XP SP1 instalados.

    • Inhabilitación de los ajustes de la directiva de grupo mediante ZENworks 7: ZENworks 7 permite ahora inhabilitar determinados ajustes de directiva de grupo sin evitar la futura edición de la directiva.

      En versiones anteriores de ZENworks, al inhabilitar determinados ajustes se inhabilitaba el editor de directivas de grupo, impidiendo al usuario editar posteriormente dicha directiva. Entre estos ajustes se incluyen los siguientes (según el SO y el nivel de Service Pack, puede que no estén todos los ajustes):

      • En Configuración del usuario > Plantillas administrativas > Componentes de Windows > Microsoft Management Console:

          Restringir al usuario la entrada al modo de autor    Restringir a los usuarios a la lista de complementos con permisos explícitos

      • En Configuración del usuario > Plantillas administrativas > Componentes de Windows > Microsoft Management Console > Complementos restringidos o permitidos > Directiva de grupo:

          Gestión de directivas de grupo    Editor del objeto Directiva de grupo

      • En Configuración del usuario > Plantillas administrativas > Componentes de Windows > Microsoft Management Console > Complementos restringidos o permitidos > Directiva de grupo > Extensiones de complemento de directivas de grupo:

          Plantillas administrativas (equipos)    Plantillas administrativas (usuarios)    Redirección de carpetas    Mantenimiento de Internet Explorer    Servicios de instalación remota    Guiones (entrada/salida de sesión)    Guiones (inicio/apagado)    Ajustes de seguridad    Instalación de software (equipos)    Instalación de software (usuarios)    Directivas de red inalámbrica (IEEE 802.11)

      Si inhabilita cualquiera de estos ajustes e intenta, a continuación, editar la directiva, aparecerá un mensaje de error en el que se indica que la directiva ha restringido el integrable. Además, no se abrirá el editor de directivas de grupo.

      Para evitar este problema, en ZENworks 7 estos ajustes se eliminan de la directiva de grupo y se guardan en una ubicación local temporal. Cuando cierra el editor, los ajustes del archivo temporal se fusionan con los de la directiva de grupo recién configurada. Si ha realizado algún cambio en estos ajustes mientras ha estado utilizando el editor y el cambio entra en conflicto con los ajustes que se han guardado en el archivo temporal, los nuevos ajustes tendrán prioridad sobre los originales que se han pasado al archivo temporal.

  6. Haga clic en Aceptar para guardar la directiva.

15.9.5 Importación de directivas de grupo de Windows (paquetes de usuarios y estaciones de trabajo)

  1. En ConsoleOne, haga clic con el botón derecho en Paquete de usuarios o en Paquete de estaciones de trabajo, después haga clic en Propiedades y, a continuación, en la página de la plataforma correspondiente.

  2. Marque la casilla de verificación situada bajo la columna Habilitado para la directiva de grupo de Windows.

    De este modo se selecciona y habilita la directiva.

  3. Haga clic en Propiedades para mostrar la página Directivas de grupo de Windows.

  4. Especifique la ubicación de red para las directivas de grupo nuevas o existentes.

  5. Si desea importar directivas de grupo de Active Directory, haga clic en Importar directiva y, a continuación, rellene los campos oportunos.

    1. Seleccione una opción de exportación:

      Importar carpeta de Active Directory: permite importar todas las directivas de grupos de la carpeta de Active Directory. Si selecciona esta opción, en el campo Ubicación de origen especifique la vía UNC a la carpeta que contiene las directivas de grupos creadas por Active Directory que desea migrar al directorio del campo Ubicación de destino de las directivas de grupo migradas. Debe conocer, o en su defecto buscar, el nombre exclusivo del directorio desde el que importa la directiva de grupo de Active Directory. Busque el nombre exclusivo examinando las propiedades de la directiva de grupo de Active Directory.

      Importar archivo de ajustes de seguridad: permite importar los ajustes de seguridad desde un archivo. Si selecciona esta opción, en el campo Ubicación de origen especifique la vía UNC al archivo que contenga los ajustes de seguridad creados por Active Directory que desee migrar al directorio del campo Ubicación de destino de las directivas de grupo migradas. Debe conocer, o en su defecto buscar, el nombre exclusivo del archivo que importa a la directiva de grupo.

      Los ajustes de seguridad importados permiten a los administradores definir únicamente determinados ajustes de seguridad que no afecten a todos los demás ajustes de seguridad. Los ajustes de seguridad se pueden importar a partir de una directiva de grupo de Active Directory o se pueden crear con el integrable de plantillas de seguridad de Microsoft Management Console (MMC). Para obtener más información, consulte Creación de ajustes de seguridad mediante el integrable de plantillas de seguridad en Microsoft Management Console (MMC).

      Cuando importe una directiva de grupo de Active Directory con ajustes de seguridad o importe un archivo de ajustes de seguridad, se guardarán los ajustes importados en un nuevo archivo denominado zensec.inf.

      Al editar la directiva de grupo en MMC se utilizan los ajustes de seguridad de zensec.inf en lugar de los normales. Los ajustes de seguridad que aparecen en MMC no son precisos y no se aplican los cambios realizados. Si se detectan ajustes de seguridad importados mientras se edita una directiva de grupo, un recuadro de mensaje informa al usuario de que se utilizarán los ajustes de seguridad de zensec.inf en lugar de los normales, dándosele la opción de consultar ver los ajustes en el archivo zensec.inf.

      IMPORTANTE:para las directivas de grupo debe utilizar vías UNC en lugar de unidades asignadas.

    2. Haga clic en Importar.

      Esta opción copia el archivo o la directiva de grupo de Active Directory en el directorio especificado en el campo Ubicación de destino de las directivas de grupo migradas. Si no existe el directorio especificado, se creará automáticamente.

      ADVERTENCIA:asegúrese de que ha seleccionado la vía del directorio correcto en el campo Ubicación de destino de las directivas de grupo migradas, ya que podría destruir datos. Se suprimirán todos los archivos del directorio seleccionado, así como los subdirectorios \adm, \user y \machine antes de copiarse allí la directiva de grupo de Active Directory.

  6. Haga clic en Aceptar para guardar la directiva.

Creación de ajustes de seguridad mediante el integrable de plantillas de seguridad en Microsoft Management Console (MMC)

Recomendamos que cree nuevos ajustes de seguridad en vez de editar los ajustes existentes en MMC. Tenga en cuenta que si edita los ajustes de seguridad existentes, es posible que éstos contengan ajustes por defecto que no necesite y que tarden bastante tiempo en procesarse. Para evitar este problema, genere nuevos ajustes.

NOTA:Para crear plantillas de seguridad debe conectarse como administrador o miembro del grupo Administradores. Los ajustes de la directiva de red también le pueden impedir crear plantillas de seguridad.

Para crear nuevos ajustes de seguridad mediante el integrable de plantillas de seguridad:

  1. Haga clic en el botón Inicio y, a continuación, en Ejecutar.

  2. Escriba mmc y, a continuación, haga clic en Aceptar.

  3. Haga clic en Archivo > Agregar o quitar complemento para abrir el recuadro de diálogo del mismo nombre.

  4. En la página Independiente, haga clic en Agregar.

  5. En el recuadro de diálogo Agregar un complemento independiente, haga clic en Plantillas de seguridad, después en Agregar y, a continuación, en Cerrar para cerrar el recuadro de diálogo.

  6. En el recuadro de diálogo Agregar o quitar complemento, haga clic en Aceptar.

  7. (Opcional) En el árbol de la consola, haga clic con el botón derecho del ratón en Plantillas de seguridad, luego en Nueva ruta de acceso de búsqueda de plantillas y, a continuación, seleccione la nueva ubicación.

    Aparece una carpeta con la vía de la nueva ubicación en el árbol de la consola.

  8. Haga clic con el botón derecho en la carpeta en la que desee almacenar la nueva plantilla y, a continuación, en Nueva plantilla.

  9. Escriba un nombre de plantilla y una descripción y, a continuación, haga clic en Aceptar.

  10. En el árbol de la consola, haga doble clic en la nueva plantilla de seguridad para ver las áreas de seguridad y vaya desplazándose hasta ver el ajuste de seguridad que desee configurar en el panel derecho.

  11. Haga doble clic en el ajuste que desee configurar, seleccione Definir esta configuración de directiva en la casilla de verificación Plantilla, edite los ajustes y, a continuación, haga clic en Aceptar.

  1. Haga clic en el botón Inicio y, a continuación, en Ejecutar.

  2. Escriba mmc y, a continuación, haga clic en Aceptar.

  3. Haga clic en Archivo > Agregar o quitar complemento para abrir el recuadro de diálogo del mismo nombre.

  4. En la página Independiente, haga clic en Agregar.

  5. En el recuadro de diálogo Agregar un complemento independiente, haga clic en Plantillas de seguridad, después en Agregar y, a continuación, haga clic en Cerrar para cerrar el cuadro de diálogo Agregar un complemento independiente.

  6. En el recuadro de diálogo Agregar o quitar complemento, haga clic en Aceptar.

  7. (Opcional) En el árbol de la consola, haga clic con el botón derecho en Plantillas de seguridad, luego en Nueva ruta de acceso de búsqueda de plantillas y, a continuación, seleccione la nueva ubicación.

    Aparece una carpeta con la vía de la nueva ubicación en el árbol de la consola.

  8. Haga clic con el botón derecho en la carpeta en la que desee almacenar la nueva plantilla y, a continuación, en Nueva plantilla.

  9. Escriba un nombre de plantilla y una descripción y, a continuación, haga clic en Aceptar.

  10. En el árbol de la consola, haga doble clic en la nueva plantilla de seguridad para ver las áreas de seguridad y vaya desplazándose hasta ver el ajuste de seguridad que desee configurar en el panel derecho.

  11. Haga doble clic en el ajuste que desee configurar, seleccione Definir esta configuración de directiva en la casilla de verificación Plantilla, edite los ajustes y, a continuación, haga clic en Aceptar.