Magic Quadrant™ para la gestión de acceso privilegiado 2025: Netwrix reconocida por cuarto año consecutivo. Descarga el informe.

ContáctenosSoporteCommunity
English Español Italiano Français Deutsch Português
Plataforma
Soluciones

Data Security Posture Management

Descubra y clasifique datos en entornos híbridos. Evalúe, priorice y mitigue los riesgos para los datos sensibles.

Directory Management

Simplifique y asegure la administración del directorio reduciendo la complejidad, el riesgo y el esfuerzo manual.

Endpoint Management

Asegure los endpoints y prevenga la pérdida de datos mientras mantiene a los equipos productivos, sin importar dónde trabajen.

Identity Management

Asegure cada identidad, agilice cada proceso y manténgase a la vanguardia del cumplimiento, sin añadir complejidad.

Identity Threat Detection & Response

Manténgase a la vanguardia de las amenazas basadas en identidades: remedie proactivamente los riesgos, bloquee ataques y asegure una recuperación rápida.

Privileged Access Management

Reduzca su superficie de ataque eliminando privilegios permanentes, asegurando credenciales y monitoreando sesiones privilegiadas.
Productos destacados Ver todos los productos
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La plataforma Netwrix 1Secure™

Explorar
Netwrix AI Entornos que protegemos Integraciones MSPs Riesgos de seguridad de Active Directory Cumplimiento Precios
Centro de Recursos Ver todo
BlogAttack CatalogCumplimientoHistorias de clientesMarcos de CiberseguridadGlosario de CiberseguridadEventosFreewareGuíasIdeas PortalNoticiasPodcastsPublicacionesAnuncios de ProductosInvestigaciónWebinars
Asset not found

Historia Destacada de un Cliente

DXC Technology permite a los clientes lograr el cumplimiento de PCI DSS y centrarse en iniciativas estratégicas
Socios
Programa de SociosConviértete en un SocioMSPsBuscador de sociosWebinars
Asset not found

Historia Destacada de Cliente

AppRiver mejora el control sobre Active Directory al tiempo que reduce significativamente el tiempo de auditoría
Asset not found

Historia Destacada de un Cliente

MSP ayuda a cliente a recuperarse de un ransomware en 6 horas
¿Por qué Netwrix?
Acerca de nosotrosLiderazgoNetwrix AIHistorias de clientesReconocimientoNoticiasCarreras
Asset not found

Historia Destacada de un Cliente

Horizon Leisure Centres acelera la clasificación de datos para cumplir con el RGPD y ahorra £80,000 al año
Asset not found

Historia Destacada de un Cliente

Samsung R&D Institute protege los datos con uso multiplataforma y despliegue rápido en macOS utilizando Netwrix Endpoint Protector
Centro de recursosBlog
Guía definitiva para la gestión de Group Policy en Active Directory

Guía definitiva para la gestión de Group Policy en Active Directory

Apr 16, 2024

Introducción a Group Policy Management

Group Policy es una característica de los sistemas operativos Microsoft Windows que ayuda a los administradores a gestionar y asegurar usuarios y computadoras en entornos de Active Directory. Las configuraciones de Group Policy están agrupadas en objetos de Group Policy (GPOs) y se aplican a objetos de computadora y usuario dentro del alcance del GPO.

Por ejemplo, los objetos de directiva de grupo se pueden utilizar para gestionar:

  • Configuraciones, como ajustes de escritorio, scripts de inicio y scripts de inicio/cierre de sesión
  • Security, including Active Directory (AD) password policies, account lockout policies and firewall settings
  • Access to network resources like shared folders, printers and applications
  • Despliegue de software, incluyendo la instalación de software en máquinas seleccionadas y la programación de parches y actualizaciones.

Esta guía explica los elementos clave de Group Policy management.

Herramienta de Gestión de Directiva de Grupo

Para administrar los GPOs, los administradores utilizan la Consola de Administración de Directivas de Grupo (GPMC). Puede acceder a este editor de Directivas de Grupo del dominio desde el menú Herramientas del Administrador de Servidores de Windows.

Puede ver todos los GPOs en un dominio haciendo clic en el contenedor de Objetos de Directiva de Grupo en el panel izquierdo de la Consola de Administración de Directivas de Grupo. A continuación, puede ver que el dominio AD domain ad.contoso.com tiene solo un GPO, Default Domain Policy:

Image

La Consola de Administración de Directivas de Grupo incluye un Editor de Directivas de Grupo, como se muestra aquí:

Image

Tipos de configuraciones de Group Policy

El panel izquierdo de la captura de pantalla a continuación muestra los tipos de configuraciones en un GPO:

Image

Como puede ver, hay dos categorías principales: Computer Configuration y User Configuration.

Cada uno de estos tiene Policies y Preferences, los cuales puedes expandir para configurar:

  • Configuración del software
  • Configuraciones de Windows
  • Plantillas administrativas

Políticas vs Preferencias

Las políticas y preferencias pueden usarse ambas para gestionar la configuración de objetos de computadora y usuario de Active Directory. La principal diferencia es la siguiente:

  • Las políticas no pueden ser cambiadas por los usuarios. Por lo tanto, los ajustes relacionados con la seguridad y el cumplimiento normativo deben realizarse en las políticas. Ejemplos incluyen políticas de contraseñas, políticas de bloqueo de cuentas, políticas de firewall y políticas de restricción de software.
  • Las preferencias pueden ser cambiadas por los usuarios, por lo que solo deben usarse para la experiencia del usuario y la configuración del entorno. Por ejemplo, podrías proporcionar un conjunto estándar de unidades de red mapeadas, impresoras o accesos directos en el escritorio, pero establecerlos a través de Preferencias permitirá a los usuarios ajustarlos para satisfacer sus propias necesidades.

Instalando la Consola de Administración de Directivas de Grupo en Windows Server

Para instalar la Consola de Administración de Directivas de Grupo en Windows Server, siga estos pasos:

  • Inicie Server Manager haciendo clic en el menú Inicio y seleccionando Server Manager.
  • En el Administrador del servidor, haga clic en Manage en el menú superior y luego seleccione Add Roles and Features.
Image
  • Elija instalación basada en roles o en características y haga clic en Siguiente.
Image
  • Seleccione el servidor donde desea instalar GPMC y haga clic en Siguiente.
Image
  • En la página “Select Server Roles” haga clic en Next, ya que no estamos agregando un rol.
  • Desplácese hacia abajo, busque “Group Policy Management” y marque la casilla que está al lado.
Image
  • Haga clic en “Siguiente” en cualquier mensaje de confirmación una vez que la instalación esté completa. Haga clic en “Cerrar” para salir del asistente.
Image

Instalación de la Consola de Administración de Directivas de Grupo en Windows

Si está utilizando la versión 1809 de Windows 10 o posterior, puede instalar GPMC utilizando la aplicación de Configuración:

  1. Abre Configuración presionando WIN+I.
  2. Busque optional features.
  3. Haga clic + Agregar una característica.
  4. Haga clic en RSAT: Group Policy Management Tools y luego haga clic en Instalar.
Image

Si está utilizando una versión antigua de Windows, necesitará descargar la versión correcta de RSAT desde el sitio web de Microsoft.

Cómo crear una GPO

Para crear un nuevo objeto de Directiva de grupo:

• Abra el Administrador del servidor, haga clic en Tools en la esquina superior derecha y seleccione Group Policy Management del menú desplegable.

Image
  • En la Consola de Administración de Directivas de Grupo, expanda el bosque y dominio donde desea vincular el GPO.
  • Haga clic derecho en la OU, dominio o sitio donde desea vincular el GPO y seleccione la opción correspondiente Create, como Crear un GPO en este dominio y vincularlo aquí…
Image

• Ingrese un nombre descriptivo para el nuevo GPO y haga clic en OK.

Image

Cómo editar un GPO

Para editar la Directiva de Grupo en la Consola de Administración de Directivas de Grupo, siga los siguientes pasos:

  • Expanda el bosque y el dominio al que pertenece la GPO.
  • Navegue hasta la OU, dominio o sitio donde está vinculado el GPO.
  • Haga clic derecho en la GPO que desea editar y seleccione Edit.
Image
  • En el Editor de administración de directivas de grupo, haga doble clic en la configuración de directiva deseada y modifíquela según sus requisitos.

Las configuraciones del ordenador se aplican cuando Windows se inicia, y las configuraciones de usuario se utilizan cuando un usuario inicia sesión. El procesamiento en segundo plano de la Directiva de Grupo aplica configuraciones periódicamente si se ha cambiado una GPO.

Cómo vincular una GPO

Para que surta efecto, una GPO debe estar vinculada al menos a un contenedor de Active Directory, como una OU, dominio o sitio. Para vincular una GPO, siga los siguientes pasos:

  • En la Consola de Administración de Directivas de Grupo, expanda el bosque y dominio donde desea vincular el GPO.
  • Haga clic derecho en la OU, dominio o sitio donde desea vincular la GPO y seleccione Link an Existing GPO.
Image

• Seleccione el GPO que desea vincular de la lista de GPOs disponibles y haga clic en OK.

Image

Cómo habilitar o deshabilitar un enlace de GPO

Cuando un enlace de GPO está desactivado, sus configuraciones no se aplicarán a los objetos en el contenedor vinculado. Aquí le mostramos cómo habilitar o deshabilitar un enlace de GPO:

  • En la Consola de Administración de Directivas de Grupo, expanda el bosque y dominio de Active Directory al que pertenece el GPO vinculado.
  • Expanda el contenedor donde está vinculada la GPO y haga clic derecho sobre la GPO.
  • En el menú contextual, marque Link Enabled para habilitar el enlace o desmárquelo para deshabilitar el enlace.
Image

Cómo importar configuraciones de GPO

Puede configurar un GPO importando configuraciones desde un GPO de respaldo o archivo de plantilla. Así es como se hace:

  • En la Consola de Administración de Directivas de Grupo, navegue hasta la OU, dominio o sitio con el GPO al que desea importar configuraciones.
  • Haga clic derecho en el GPO de destino y seleccione Importar configuraciones…
  • Elija el archivo de respaldo o plantilla (.admx o .adml) que contenga la configuración de GPO deseada y haga clic en Abrir.
  • Dado que las ubicaciones de respaldo pueden contener múltiples GPOs, seleccione aquel del cual desea importar configuraciones.
Image
  • Haga clic en Siguiente dos veces, revise el resumen y haga clic en Finalizar para completar el proceso de importación.
Image

Herencia y precedencia de GPO

La herencia y la precedencia de las Directivas de Grupo determinan cómo se aplican los objetos de Directiva de Grupo a los objetos.

Herencia

La herencia de Directiva de Grupo sigue la estructura jerárquica de los dominios y las UO de AD. Las políticas a nivel de dominio se aplican a todos los objetos (usuarios, computadoras, grupos) en el dominio. Las políticas a nivel de UO se aplican a objetos dentro de una UO específica. Las políticas aplicadas en un nivel superior de la jerarquía son heredadas por los objetos hijos, por lo que las GPO a nivel de dominio son heredadas por todas las UO en el dominio, y una política vinculada a una UO es heredada por todas las sub-UO anidadas bajo esa UO.

Sin embargo, puede utilizar la configuración de Bloquear Herencia en un sitio, dominio o UO para evitar que los GPOs vinculados a objetos padres se apliquen a objetos hijos. Establecer la bandera de Forzado en GPOs individuales anula la configuración de Bloquear Herencia.

Para ver las GPOs que un objeto hereda de objetos padres, haga clic en el objeto en GPMC y vaya a la pestaña de Herencia de Directiva de Grupo.

Precedencia

Un dominio, sitio o OU dado puede tener múltiples GPOs vinculados a él, y esas políticas podrían tener configuraciones en conflicto. La precedencia de la Directiva de Grupo controla el orden en el que se aplican los GPOs y, por lo tanto, qué configuración tiene efecto. Cuanto más tarde se aplique un GPO en la secuencia, mayor será su precedencia.

El orden en que se aplican las políticas es el siguiente:

  • Política de Grupo Local
  • GPOs a nivel de sitio
  • GPOs a nivel de dominio
  • GPOs a nivel de OU

Para ver los GPOs vinculados a un objeto, haga clic en el objeto en GPMC y vaya a la pestaña de Linked Group Policy Objects. Los GPOs con un número de Link Order más alto tienen prioridad sobre aquellos con un número más bajo. Puede cambiar el número de orden de enlace haciendo clic en un GPO y utilizando las flechas de la izquierda para moverlo hacia arriba o hacia abajo.

Image

Extensibilidad de Directiva de Grupo

Puede ampliar la funcionalidad de la Directiva de Grupo integrando características adicionales, configuraciones personalizadas o componentes de terceros. Aquí hay varios aspectos de la extensibilidad de la Directiva de Grupo:

  • Plantillas administrativas (archivos .admx) — Los administradores pueden crear plantillas personalizadas para gestionar configuraciones adicionales o configurar políticas personalizadas.
  • Preferencias de Directiva de Grupo personalizadas — Puede crear elementos de Preferencia personalizados utilizando archivos XML o scripts. Estos le permiten administrar cosas como unidades mapeadas, impresoras, configuraciones del registro, archivos y accesos directos en computadoras cliente.
  • Extensiones de cliente de directiva de grupo (CSEs) — Puede crear CSEs personalizadas para agregar configuraciones, políticas o tareas de gestión adicionales.
  • Filtros de directiva de grupo y filtros WMI — Puede crear filtros para dirigir configuraciones de directiva de grupo basadas en criterios específicos, como atributos de usuario o computadora.
  • Herramientas de Group Policy de terceros — Las soluciones de terceros ofrecen capacidades de gestión adicionales, características de reportes, herramientas de auditoría y plantillas de políticas.

Haciendo copias de seguridad de GPOs

Cree copias de seguridad regulares de sus GPOs para asegurarse de tener una copia reciente en caso de eliminación accidental o maliciosa, corrupción o mala configuración. También debe hacer una copia de seguridad de los GPOs después de realizar cambios significativos o antes de llevar a cabo tareas de mantenimiento que podrían afectar la configuración de la Directiva de grupo.

Establezca una ubicación centralizada para almacenar copias de seguridad de GPO para garantizar un acceso y gestión fáciles. Considere organizar los archivos de respaldo por dominio, fecha o propósito para facilitar la recuperación y el acceso. Utilice convenciones de nombres descriptivos o metadatos para identificar las versiones de las copias de seguridad y los cambios asociados. Implemente prácticas de control de versiones para rastrear los cambios en los GPOs a lo largo del tiempo y mantener un historial de las copias de seguridad.

Modelado de cambios en la configuración de Group Policy

La Modelización de Directivas de Grupo es una característica de GPMC que permite a los administradores simular cómo actuarían las configuraciones de Directivas de Grupo para usuarios y computadoras en un entorno de Active Directory. Proporciona una forma de predecir el resultado de aplicar configuraciones específicas de Directivas de Grupo sin implementarlas.

Gestión Avanzada de Políticas de Grupo

Advanced Group Policy Management (AGPM) es un componente de Microsoft Desktop Optimization Pack (MDOP) que mejora la gestión, delegación, control de versiones y auditoría de los objetos de Group Policy.

A diferencia de GPMC, AGPM es una aplicación cliente/servidor. El componente del servidor almacena los GPOs y sus historiales de forma offline. Los GPOs gestionados por AGPM se denominan GPOs controlados. Los administradores pueden registrarlos y retirarlos, de manera similar a cómo se manejan archivos o código en GitHub o un sistema de gestión documental.

AGPM ofrece más control sobre los GPOs que GPMC. Además del control de versiones, puedes asignar roles como Revisor, Editor y Aprobador a los administradores de Group Policy. Esto facilita un estricto control de cambios a lo largo de todo el ciclo de vida del GPO. La auditoría de AGPM también proporciona una visión más profunda de los cambios en Group Policy.

Cómo puede ayudar Netwrix

Netwrix Auditor extiende la gestión tradicional de políticas de grupo con funcionalidades mejoradas de visibilidad, auditoría, control de cambios e informes que mejoran la seguridad y el cumplimiento. Por ejemplo, los administradores obtienen información detallada sobre qué se cambió, quién lo cambió y cuándo ocurrió la acción. Desde una interfaz intuitiva, pueden comparar fácilmente diferentes versiones de GPOs, identificar cambios específicos e incluso revertir modificaciones no deseadas.

Esta mayor transparencia permite a los administradores asegurarse de que la configuración de Group Policy esté alineada con las políticas organizacionales, los estándares de seguridad y los requisitos regulatorios. Al integrar Netwrix Auditor en su estrategia de gestión de Group Policy, las organizaciones pueden lograr una infraestructura de TI más segura, conforme y gestionada eficientemente.

Preguntas Frecuentes

¿Qué es la gestión de Active Directory Group Policy?

Group Policy es una característica de Active Directory que permite a los administradores controlar la configuración de usuarios y computadoras. La gestión de Group Policy es el proceso de crear y mantener configuraciones de Group Policy que refuerzan la seguridad, despliegan software, gestionan configuraciones de escritorio y más.

¿Cómo se abre la Consola de Administración de Directivas de Grupo?

Para abrir la consola de administración de directivas de grupo de Active Directory:

  1. Presione la tecla Windows + R en su teclado.
  2. En el cuadro de diálogo Ejecutar que aparece, escriba gpmc. msc y presione Enter o haga clic en OK.

¿Cómo puedo instalar la Consola de Administración de Directivas de Grupo?

Para instalar GPMC en un servidor Windows, siga estos pasos:

  1. Inicie Server Manager. Normalmente lo puede encontrar en la barra de tareas, o puede localizarlo en el menú de inicio.
  2. En el Administrador del servidor, haga clic en Manage en la esquina superior derecha y luego seleccione Add Roles and Features.
  3. En la pantalla “Before you begin”, haga clic en Next.
  4. En la pantalla “Seleccionar tipo de instalación”, elija la opción Role-based or feature-based installation y luego haga clic en Siguiente.
  5. Seleccione el servidor donde desea instalar la característica GPMC y haga clic en Siguiente.
  6. En la pantalla “Seleccionar características”, marque la casilla junto a Group Policy Management. Haga clic en Siguiente.
  7. Revise sus selecciones y haga clic en Install.
  8. Espere a que se complete el proceso de instalación. Una vez que vea un mensaje de confirmación, cierre el Administrador del Servidor.

¿Qué usuarios reciben automáticamente permisos para realizar tareas de gestión de Group Policy?

El grupo Group Policy Creator Owners se crea automáticamente cuando se crea un bosque de Active Directory. Los miembros del grupo pueden crear, editar y gestionar objetos de Group Policy a nivel de dominio. Este grupo se utiliza normalmente cuando los administradores quieren delegar el control sobre Group Policy sin otorgar privilegios administrativos completos. Por defecto, solo el administrador del dominio es miembro de este grupo.

Compartir en

Aprende más

Acerca del autor

Asset Not Found

Russell Smith

Consultor de TI

Consultor de TI y autor especializado en tecnologías de gestión y seguridad. Russell tiene más de 15 años de experiencia en TI, ha escrito un libro sobre seguridad en Windows y ha coescrito un texto para la serie de Cursos Académicos Oficiales de Microsoft (MOAC).

Aprende más sobre este tema

Crear usuarios de AD en masa y enviar sus credenciales por correo electrónico usando PowerShell

Cómo crear, cambiar y probar contraseñas usando PowerShell

Cómo agregar y eliminar grupos de AD y objetos en grupos con PowerShell

Confianzas en Active Directory

Ataques de ransomware a Active Directory

Últimos blogs

Los próximos cinco minutos de cumplimiento: construyendo seguridad de datos basada en la identidad a través de APAC

Gestión de configuración para el control seguro de Endpoint

Clasificación de datos y DLP: Prevenga la pérdida de datos, demuestre el cumplimiento

Cumplimiento de CMMC y el papel crítico del control de USB estilo MDM en la protección de CUI

DSPM, ASM y ITDR: Construyendo una estrategia de seguridad consciente de la exposición y basada en datos

De ruido a acción: convirtiendo el riesgo de datos en resultados medibles

IA en el trabajo: Velocidad, riesgo y por qué la simplicidad triunfa

Leyes de Privacidad de Datos por Estado: Diferentes Enfoques para la Protección de la Privacidad

Ejemplo de Análisis de Riesgos: Cómo Evaluar los Riesgos

El Triángulo de la CIA y su Aplicación en el Mundo Real

Nuestros artículos más destacados

Tipos comunes de dispositivos de red y sus funciones

Cómo ejecutar un script de PowerShell desde el Programador de tareas

Cómo instalar y usar Active Directory Users and Computers (ADUC)?

Descargue e instale PowerShell 7

Los ataques cibernéticos más grandes y notorios de la historia

Comandos esenciales de PowerShell: Una guía rápida para principiantes

Una visión general del ciberataque MGM

Extracción de hashes de contraseñas del archivo Ntds.dit

Guía para montar comparticiones Unix con un cliente NFS de Windows

Cómo los puertos abiertos inseguros y vulnerables representan serios riesgos de seguridad