La configuración de Directiva de grupo define los distintos componentes del entorno de escritorio del usuario que tiene que administrar un administrador del sistema; por ejemplo, los programas que se encuentran disponibles para los usuarios, los programas que aparecen en el escritorio del usuario y las opciones del menú Inicio. Para crear una configuración específica de escritorio para un grupo de usuarios en particular, se utiliza el complemento Directiva de grupo. La configuración de Directiva de grupo que se especifique está contenida en un objeto de Directiva de grupo que, a su vez, está asociado a objetos seleccionados de Active Directory: sitios, dominios o departamentos.
Directiva de grupo incluye configuración para Configuración de usuario, que afecta a los usuarios, y Configuración del equipo, que afecta a los equipos.
Mediante Directiva de grupo y sus extensiones, se puede:
Administrar la directiva basada en el Registro a través de las plantillas administrativas. Directiva de grupo crea un archivo que contiene configuración del Registro escrita en la parte de Usuario o Equipo local de la base de datos del Registro. La configuración de perfil de usuario que es específica para un usuario que inicia una sesión en una estación de trabajo o servidor determinados, se escribe en el Registro bajo HKEY_CURRENT_USER (HKCU) y la configuración específica de equipo se escribe bajo HKEY_LOCAL_MACHINE (HKLM).
Asignar secuencias de comandos (como inicio y cierre del sistema, e inicio y cierre de sesión).
Redirigir carpetas desde la carpeta Documents and Settings del equipo local a ubicaciones de red.
Administrar aplicaciones (asignar, publicar, actualizar o reparar). Para ello, se utiliza la extensión Instalación de software.
Especificar las opciones de seguridad. Para aprender cómo configurar opciones de seguridad, consulte la Ayuda en pantalla acerca de la configuración de seguridad.
La directiva de usuario (la configuración se encuentra en el nodo Configuración de usuario en Directiva de grupo) se obtiene cuando un usuario inicia una sesión.
La configuración de la directiva de equipo se encuentra en Configuración del equipo y se obtiene cuando se inicia el equipo.
Los usuarios y los equipos son los únicos tipos de objetos de Active Directory que reciben directivas. Específicamente, a los grupos de seguridad no se les aplica directivas. En lugar de ello, por motivos de rendimiento, los grupos de seguridad se usan para filtrar la directiva por medio de una entrada de control de acceso (ACE) Aplicar Directiva de grupo, la cual se puede configurar para Permitir o Denegar, o dejar sin configurar.
Las directivas se aplican en este orden:
El objeto de Directiva de grupo local único.
Objetos de Directiva de grupo del sitio, en orden especificado administrativamente.
Objetos de Directiva de grupo del dominio, en orden especificado administrativamente.
Objetos de Directiva de grupo del departamento, de departamento mayor a menor (de departamento principal a secundario), y en orden especificado administrativamente en el nivel de cada departamento.
De forma predeterminada, las directivas aplicadas posteriormente sobrescriben las directivas aplicadas con anterioridad cuando las directivas son incoherentes. Sin embargo, si no hay incoherencias de configuración, tanto las directivas anteriores como las posteriores contribuyen a la directiva efectiva.
Una ACE para un grupo de seguridad en un objeto de Directiva de grupo puede establecerse como No configurada (no hay preferencia), Permitida o Denegada. Denegada tiene prioridad sobre permitida.
Las directivas que normalmente se heredarían de sitios, dominios o departamentos superiores se pueden bloquear en el nivel del sitio, dominio o departamento.
Las directivas que de otro modo serían sobrescritas por directivas de departamentos secundarios pueden configurarse como No anular en el nivel de objeto de Directiva de grupo.
Las directivas que se han configurado como No anular no se pueden bloquear.