Administración de directivas de grupo en un dominio administrado de Microsoft Entra Domain Services

  • Instrucciones

La configuración de los objetos de usuario y de equipo en Microsoft Entra Domain Services se suele administrar con objetos de directiva de grupo (GPO). Domain Services incluye GPO integrados para los contenedores de usuarios del controlador de dominio de AAD y equipos del controlador de dominio de AAD. Puede personalizar estos GPO integrados para configurar la directiva de grupo según las necesidades del entorno. Los miembros del grupo de administradores de AAD DC tienen privilegios de administración de directivas de grupo en el dominio de Domain Services y también pueden crear GPO personalizados y unidades organizativas (UO). Para más información sobre qué es la directiva de grupo y cómo funciona, consulte Introducción a la directiva de grupo.

En un entorno híbrido, las directivas de grupo configuradas en un entorno de AD DS local no se sincronizan con Domain Services. Para definir los valores de configuración de los usuarios o equipos en Domain Services, edite uno de los GPO predeterminados o cree un GPO personalizado.

En este artículo se muestra cómo se instalan las herramientas de Administración de directivas de grupo y, posteriormente, cómo se editan los GPO integrados y se crean otros personalizados.

Si le interesa la estrategia de administración de servidores, incluidas las máquinas en Azure y con conexión híbrida, podría leer sobre la característica de configuración de invitado de Azure Policy.

Requisitos previos

Para completar este artículo, necesitará los siguientes recursos y privilegios:

Nota:

Para usar las plantillas administrativas de la directiva de grupo, puede copiar las nuevas plantillas en la estación de trabajo de administración. Copie los archivos .admx en %SYSTEMROOT%\PolicyDefinitions y los archivos .adml de la configuración regional en %SYSTEMROOT%\PolicyDefinitions\[Language-CountryRegion], donde Language-CountryRegion coincide con el idioma y la región de los archivos .adml.

Por ejemplo, copie la versión Inglés - Estados Unidos de los archivos .adml en la carpeta \en-us.

Instalación de las herramientas de Administración de directivas de grupo

Para crear y configurar objetos de directiva de grupo (GPO), debe instalar las herramientas de Administración de directivas de grupo. Estas herramientas se pueden instalar como una característica en Windows Server. Para obtener más información sobre cómo instalar las herramientas administrativas en un cliente de Windows, consulte cómo se instalan las herramientas de administración remota del servidor (RSAT).

  1. Inicie sesión en la máquina virtual de administración. Para los pasos sobre cómo conectarse usando el centro de administración de Microsoft Entra, consulte Conectarse a una máquina virtual de Windows Server.

  2. Administrador del servidor debería abrirse de forma predeterminada al iniciar sesión en la máquina virtual. Si no es así, en el menú Inicio, seleccione Administrador del servidor.

  3. En el Panel de información de la ventana Administrador del servidor, seleccione Agregar roles y características.

  4. En la página Antes de comenzar del Asistente para agregar roles y características, seleccione Siguiente.

  5. En Tipo de instalación, deje activada la opción Instalación basada en características o en roles y seleccione Siguiente.

  6. En la página Selección de servidor, elija la máquina virtual actual del grupo de servidores, por ejemplo mivm.aaddscontoso.com, y seleccione Siguiente.

  7. En la página Roles de servidor, haga clic en Siguiente.

  8. En la página Características, seleccione la Administración de directivas de grupo.

    Instalación de la Administración de directivas de grupo desde la página Características

  9. En la página Confirmación, seleccione Instalar. Las herramientas de Administración de directivas de grupo pueden tardar un minuto o dos en instalarse.

  10. Cuando finalice la instalación de la característica, haga clic en Cerrar para salir del Asistente para Agregar roles y características.

Apertura de la Consola de administración de directivas de grupo y edición de un objeto

Existen objetos de directiva de grupo (GPO) predeterminados para usuarios y equipos en un dominio administrado. Después de instalar la característica Administración de directivas de grupo en la sección anterior, vamos a ver y editar un GPO existente. En la sección siguiente, crearemos un GPO personalizado.

Nota:

Para administrar la directiva de grupo en un dominio administrado, debe haber iniciado sesión en una cuenta de usuario que sea miembro del grupo Administradores del controlador de dominio de AAD.

  1. En la pantalla Inicio, seleccione Herramientas administrativas. Se muestra una lista de las herramientas de administración disponibles, incluida la Administración de directivas de grupo, instalada en la sección anterior.

  2. Para abrir la Consola de administración de directivas de grupo (GPMC), seleccione Administración de directivas de grupo.

    La Consola de administración de directivas de grupo se abre preparada para editar objetos de directiva de grupo

Hay dos objetos de directiva de grupo integrados (GPO) en un dominio administrado: uno para el contenedor de equipos de AADDC y otro para el contenedor de usuarios de AADDC. Puede personalizar estos GPO para configurar la directiva de grupo según sea necesario en el dominio administrado.

  1. En la consola de Administración de directivas de grupo, expanda el nodo Bosque: aaddscontoso.com. Después, expanda los nodos Dominios.

    Existen dos contenedores integrados para los equipos del controlador de dominio de AAD y los usuarios del controlador de dominio de AAD. Cada uno de estos contenedores tiene aplicado un GPO predeterminado.

    GPO integrados aplicados a los contenedores predeterminados de equipos y los usuarios del controlador de dominio de AAD

  2. Estos GPO integrados se pueden personalizar para configurar directivas de grupo específicas en el dominio administrado. Haga clic con el botón derecho en uno de los GPO, como AADDC Computers GPO (GPO de equipos del controlador de dominio de AAD), y seleccione Editar…

    Selección de la opción para editar uno de los GPO integrados

  3. Se abre la herramienta Editor de administración de directivas de grupo para que pueda personalizar el GPO, como Directivas de cuenta:

    Captura de pantalla del Editor de administración de directivas de grupo.

    Cuando haya terminado, seleccione Archivo > Guardar para guardar la directiva. Los equipos actualizan la directiva de grupo de forma predeterminada cada 90 minutos y aplican los cambios realizados.

Creación de un objeto de directiva de grupo personalizado

Para agrupar opciones de configuración de directiva similares, lo habitual es crear GPO adicionales en lugar de aplicar todas las opciones necesarias en el mismo GPO predeterminado. Con Domain Services, puede crear o importar sus propios objetos de directiva de grupo personalizados y vincularlos a una unidad organizativa personalizada. Si tiene que crear primero una unidad organizativa personalizada, consulte Crear una unidad organizativa personalizada en un dominio administrado.

  1. En la consola de Administración de directivas de grupo, seleccione la unidad organizativa (UO) personalizada, como MyCustomOU. Haga clic con el botón derecho en la unidad organizativa y seleccione Crear un GPO en este dominio y vincularlo aquí… :

    Creación de un GPO personalizado en la Consola de administración de directivas de grupo

  2. Especifique un nombre para el nuevo GPO, como My custom GPO (Mi GPO personalizado), y seleccione Aceptar. También puede basar este GPO personalizado en un GPO existente y en un conjunto de opciones de directiva.

    Especificación de un nombre para el nuevo GPO personalizado

  3. Se crea el GPO personalizado y se vincula a la unidad organizativa personalizada. Para configurar las opciones de la directiva, seleccione el GPO personalizado con el botón derecho y elija Editar… :

    Selección de la opción para editar el GPO personalizado

  4. Se abre el Editor de administración de directivas de grupo para que pueda personalizar el GPO:

    Personalización del GPO para configurar las opciones según sea necesario

    Cuando haya terminado, seleccione Archivo > Guardar para guardar la directiva. Los equipos actualizan la directiva de grupo de forma predeterminada cada 90 minutos y aplican los cambios realizados.

Contenido relacionado