Preferencias en GPO
GPO Preferences pretenden ser el método de aplicación de todos aquellos settings que se aplicaban mediante logon script en versiones anteriores a Windows 2008. Se trata de ofrecer un método más simple y amigable para las configuraciones que se realizan tradicionalmente mediante logon script.
Se ofrecen más de veinte extensiones de directiva de grupo (preferencias) que amplían el intervalo de opciones configurables de un objeto de directiva de grupo. Las preferencias de la directiva de grupo permiten administrar asignaciones de unidades, la configuración del Registro, los usuarios y grupos locales, los servicios, los archivos y las carpetas sin que sea necesario conocer el lenguaje de scripting.
A diferencia de la configuración de directiva de grupo, las preferencias no se exigen. Los usuarios pueden cambiar las preferencias después de la implementación inicial.
Con el logon script tradicional, los parámetro configurados no son obligatorios, es decir, se podrían por ejemplo mapear una impresora o unidad de red que, posteriormente, el usuario podría desmapear. Con las “GPO Preferences” ocurre lo mismo, los parámetros configurados no son obligatorios. Se podría configurar cualquier característica que posteriormente el usuario podría modificar.
Las políticas de grupo no fuerzan las preferencias. Las preferencias no son almacenadas en la rama “Policy” del registro, en lugar de esto, se almacenan en la parte del registro que lo haría si el usuario las hubiera configurado manualmente. Esto conlleva las siguientes implicaciones:
· Soporte para aplicaciones que no soportan Políticas de grupo
· No se deshabilita el Infertaz de usuario para cambios en las configuraciones
· En caso de deshabilitar la preferencia no se restaura la configuración original
Las preferencias utilizan de modo predeterminado el mismo intervalo de refresco que las Group Policy Settings (90 minutos) aunque esto es configurable.
Diferencias más significativas entre Group Policy y Group Pocicy Preferences
|
Group Policy Preferences |
Group Policy Settings |
Forzadas |
· No forzadas |
· Forzadas |
Aplicaciones |
· Soporte para aplicaciones que no admiten GPO |
|
Localización |
· Eliminar la preferencia no restaura la configuración inicial |
· Almacenadas en la rama Policy del registro
· Eliminar la configuración restaura la configuración inicial |
Destinatarios |
· Filtrado de Destinatarios |
· Filtrado a Nivel de GPO |
Cuando aplicar GPO - Preferencias
A la hora de decidir si una configuración determinada ha de ser aplicada mediante preferencias se puede seguir el siguiente diagrama:

La opción Apply-Once a la que se hace referencia se refiere a la frecuencia de refresco de la preferencia (para restablecer la configuración establecida en la preferencia en caso de que el usuario la hubiera modificado) y se explica detalladamente en el apartado Configuración de Opciones Comunes de este mismo documento
Configuración de Preferencias
La Consola de administración de directivas de grupo permite configurar preferencias al editar objetos de directiva de grupo. El nodo Preferencias aparece en Configuración del equipo y Configuración de usuario. El editor muestra extensiones de preferencias en dos categorías: Configuración de Windows y Configuración del Panel de control.
Las extensiones de preferencias de Configuración de Windows incluyen:
Las extensiones de preferencias de Configuración del Panel de control incluyen:
Habilitar y deshabilitar la configuración de un elemento de preferencias
Además de habilitar y deshabilitar los elementos de preferencias de un objeto de directiva de grupo (GPO), se pueden habilitar y deshabilitar de forma individual los valores con subrayado o los valores precedidos por un círculo en un elemento de preferencias.
El subrayado o el círculo en un valor indica si está habilitado o deshabilitado:

|

|
Un valor con un subrayado de color verde o un círculo verde significa que está habilitado. La extensión de preferencias aplica este valor de configuración al usuario o al equipo. |

|

|
Un valor con un subrayado discontinuo de color rojo o con un círculo rojo con una barra está deshabilitado. La extensión de preferencias no aplica este valor de configuración al usuario o al equipo. |
Configuración de opciones comunes

Cada elemento de preferencias muestra estas opciones en la ficha Común. Las opciones comunes son coherentes entre las distintas extensiones de preferencias y permiten controlar los errores de una determinada extensión, el contexto de seguridad utilizado por la extensión al procesar las opciones de configuración del usuario, el ámbito y la aplicación de elementos de preferencias y los destinos de nivel de elemento, que proporcionan filtrado en el nivel de elemento de preferencias, además del filtrado de directiva de grupo.
Entre las opciones comunes se incluyen las siguientes:
Detener el procesamiento de elementos en esta extensión si se produce un error en este elemento
Cada extensión de preferencias puede incluir uno o varios elementos de preferencias.
- De forma predeterminada, un elemento de preferencias con errores no impide el procesamiento de otros elementos de preferencias de la misma extensión.
- Si está seleccionada la opción Detener el procesamiento de elementos en esta extensión si se produce un error en este elemento, un elemento de preferencias con errores impedirá el procesamiento de los elementos de preferencias restantes de la extensión. Este cambio de comportamiento se limita al objeto de directiva de grupo (GPO) de hospedaje y no se extiende a otros GPO.
Importante
|
Las extensiones de preferencias comienzan a procesar los elementos de preferencias desde la parte inferior de la lista y van avanzando hacia la parte superior. Los elementos de preferencias correctamente aplicados antes del elemento de preferencias con errores se aplican. La extensión de preferencias sólo detiene el procesamiento de los elementos de preferencias que van a continuación del elemento de preferencias con errores. |
Ejecutar en el contexto de seguridad del usuario que ha iniciado sesión (opción de directiva de usuario)
Existen dos contextos de seguridad en los que la directiva de grupo aplica preferencias de usuario: la cuenta SYSTEM y el usuario que ha iniciado sesión.
- De forma predeterminada, la directiva de grupo procesa las preferencias de usuario usando el contexto de seguridad de la cuenta SYSTEM. En este contexto de seguridad, la extensión de preferencias se limita a las variables de entorno y los recursos del sistema disponibles sólo para el equipo.
- Si está seleccionada la opción Ejecutar en el contexto de seguridad del usuario que ha iniciado sesión, cambiará el contexto de seguridad en el que se procesa el elemento de preferencias. La extensión de preferencias procesa los elementos de preferencias en el contexto de seguridad del usuario que ha iniciado sesión. Esto permite a la extensión de preferencias obtener acceso a los recursos como el usuario en lugar de como el equipo. Esto puede resultar de especial importancia al usar asignaciones de unidades u otras preferencias en las que es posible que el equipo no tenga permisos a los recursos, o al usar variables de entorno. El valor de muchas variables de entorno es distinto cuando se evalúan en un contexto de seguridad diferente al del usuario que ha iniciado sesión.
Quitar este elemento cuando deje de aplicarse
La directiva de grupo aplica configuraciones de directiva y elementos de preferencias a usuarios y equipos. Puede determinar qué usuarios y equipos reciben estos elementos enlazando uno o varios objetos de directiva de grupo (GPO) a unidades organizativas, dominios y sitios de Active Directory. Los objetos de usuario y equipo que residen en estos contenedores reciben configuraciones de directiva y elementos de preferencias definidos en los GPO vinculados porque se encuentran dentro del ámbito del GPO.
- A diferencia de las configuraciones de directiva, los elementos de preferencias no se quitan de forma predeterminada cuando el GPO de hospedaje se encuentra fuera del ámbito del usuario o del equipo.
- Si está seleccionada la opción Quitar este elemento cuando deje de aplicarse, cambiará este comportamiento. Después de seleccionar esta opción, la extensión de preferencias determina si el elemento de preferencias no debe aplicarse a los usuarios o equipos de destino (fuera de ámbito). Si la extensión de preferencias determina que el elemento de preferencias está fuera del ámbito, quita la configuración asociada al elemento de preferencias.
Importante
|
Al seleccionar esta opción, la acción cambia a Reemplazar. Durante la aplicación de la directiva de grupo, la extensión de preferencias vuelve a crear (elimina y crea) los resultados del elemento de preferencias. Cuando el elemento de preferencias sale del ámbito del usuario o equipo, los resultados del elemento de preferencias se eliminan, pero no se crean. Los elementos de preferencias pueden salirse del ámbito mediante destinos de nivel de elemento o filtros de directiva de grupo de nivel más elevado, como filtros de grupos de seguridad y WMI. |
Nota
|
La opción Quitar este elemento cuando deje de aplicarse no se encuentra disponible cuando la acción del elemento de preferencias se establece en Eliminar. |
Aplicar una vez y no volver a aplicar
Los elementos de preferencias se aplican cuando se actualiza la directiva de grupo.
- De forma predeterminada, los resultados de los elementos de preferencias vuelven a escribirse cada vez que se actualiza la directiva de grupo. Esto garantiza que los resultados de los elementos de preferencias sean coherentes con lo que el administrador designó en el objeto de directiva de grupo.
- Si está seleccionada la opción Aplicar una vez y no volver a aplicar, modifica este comportamiento, de modo que la extensión de preferencias aplica una sola vez al usuario o equipo los resultados del elemento de preferencias. Esta opción resulta útil si no desea que vuelvan a aplicarse los resultados de un elemento de preferencias.
Destinos de nivel de elemento
La directiva de grupo proporciona filtros para controlar qué configuraciones de directiva y elementos de preferencias se aplican a los usuarios y equipos. Las preferencias ofrecen un nivel adicional de filtrado que recibe el nombre de destinos. Los destinos de nivel de elemento permiten controlar si un elemento de preferencias se aplica a un grupo de usuarios o equipos. Para obtener más información, vea Destinatarios de nivel de elemento de preferencias.
En un solo objeto de directiva de grupo (GPO) se pueden incluir varios elementos de preferencias, cada uno de ellos personalizado para usuarios o equipos determinados y destinado a aplicar opciones de configuración únicamente a los usuarios o equipos relevantes.
Cada elemento de destinatarios deriva en un valor verdadero o falso. Puede aplicar varios elementos de destinatarios a un elemento de preferencias y seleccionar el operador lógico (AND u OR) mediante el que cada elemento de destinatarios se va a combinar con el anterior. Si el valor combinado de todos los elementos de destinatarios de un elemento de preferencias es falso, la configuración en el elemento de preferencias no se aplicará al usuario o equipo. También se pueden crear expresiones entre paréntesis mediante recopilaciones de destinatarios
Para destinar un elemento de preferencias existente de manera que se aplique únicamente a determinados usuarios o equipos
- Abra la Consola de administración de directivas de grupos. Haga clic con el botón secundario en el objeto de directiva de grupo (GPO) que debe contener el nuevo elemento de preferencia y, a continuación, haga clic en Editar.
- En las opciones Configuración del equipo o Configuración de usuario del árbol de la consola, expanda la carpeta Preferencias y, a continuación, busque la extensión que desee.
- Haga doble clic en el nodo de la extensión de preferencias, haga clic con el botón secundario en el elemento de preferencias y, a continuación, haga clic en Propiedades.
- En el cuadro de diálogo Propiedades, haga clic en la ficha Común.
- Seleccione Destinatarios de nivel de elemento y, a continuación, haga clic en Destinatarios.
- Haga clic en Nuevo elemento, haga clic en un tipo de elemento de destinatarios para aplicarlo al elemento de preferencias y, a continuación, establezca la configuración del elemento de destinatarios.
Nota
|
Para cambiar el valor del elemento de destinatarios al opuesto, en el menú Opciones de elemento, haga clic en No es.
Los campos de texto admiten variables de procesamiento de preferencias. Presione F3 para mostrar una lista de variables entre las que puede realizar su selección.
Para asignar un nombre personalizado al elemento de destinatarios, en el menú Opciones de elemento, haga clic en Etiqueta y escriba un nombre en el campo a tal efecto.
Para incluir un comentario sobre el elemento de destinatarios, en el menú Opciones de elemento, haga clic en Etiqueta y escriba un comentario en el campo a tal efecto. |
- Si se configuran varios elementos de destinatarios, en el menú Opciones de elemento, haga clic en el operador lógico (And u Or) por el cual el elemento de preferencias se va a combinar con el anterior.
Nota
|
Para crear una expresión entre paréntesis, haga clic en Agregar recopilación. (Para obtener más información, vea Colección de destinatarios.) |
- Repita este procedimiento con cada uno de los elementos de destinatario que vaya a aplicar.
- Haga clic en Aceptar y, de nuevo, en Aceptar en el cuadro de diálogo Propiedades.
Tipos de elementos de destinatarios
Se pueden configurar los siguientes tipos de elementos de destinatarios:
Máquinas Cliente:
Para usar las preferencias de la directiva de grupo, complete los pasos siguientes:
- Instale el conjunto de extensiones del lado cliente (CSE) en los equipos cliente. Sistemas operativos compatibles: Windows Vista RTM o posterior, Windows XP con Service Pack 2 o posterior, Windows Server 2003 con Service Pack 1 o posterior Para más información, consultar el artículo 943729 en Microsoft Knowledge Base.
- Instale el analizador XML de nivel inferior en equipos cliente que no ejecuten Windows Vista.
Referencias:
http://technet.microsoft.com/es-es/library/cc771034(WS.10).aspx
http://technet.microsoft.com/es-es/library/cc731892(WS.10).aspx
http://technet.microsoft.com/es-es/library/cc771685.aspx