Procesamiento de directivas de grupo
De forma predeterminada, la directiva de grupo es heredada y acumulativa, y afecta a todos los equipos y usuarios de un contenedor de Active Directory y sus elementos secundarios. La configuración de directiva relacionada con el equipo invalida la configuración de directiva relacionada con el usuario.
Los objetos de directiva de grupo (GPO) se procesan en el orden siguiente:
- Se aplica el GPO local.
- Se aplican los GPO vinculados a sitios.
- Se aplican los GPO vinculados a dominios.
- Se aplican los GPO vinculados a unidades organizativas. En el caso de las unidades organizativas anidadas, los GPO vinculados a las unidades organizativas principales se aplican antes de que se apliquen los GPO vinculados a unidades organizativas secundarias.
Sugerencia
El orden en que se procesan los GPO es importante porque cuando se aplica una directiva, esta sobrescribe la que se aplicó anteriormente.
El método de herencia predeterminado consiste en evaluar la directiva de grupo empezando por el contenedor de Active Directory de nivel superior. El contenedor de Active Directory más cercano al equipo o al usuario invalida la directiva de grupo establecida en un contenedor de Active Directory de nivel superior. La herencia se omite cuando se establece la opción forzada para ese vínculo de GPO o cuando se aplica la configuración de herencia de bloques. La directiva de grupo local se procesa antes que las directivas basadas en dominios. La configuración de directiva de los GPO vinculados a contenedores de Active Directory invalida la configuración de directiva local.
Puede vincular más de un GPO a un contenedor de Active Directory. El vínculo de GPO con el orden de vínculo más bajo de la lista Vínculos de objetos de directiva de grupo tiene prioridad de forma predeterminada.
Funcionamiento de la directiva de grupo
La directiva de grupo para la configuración del equipo se aplica cuando se inicia el equipo. La directiva de grupo se aplica al iniciar la sesión para los usuarios. Este procesamiento inicial de la directiva también puede denominarse aplicación de directiva en primer plano.
El procesamiento en primer plano de la directiva de grupo puede ser sincrónica o asincrónica. En modo sincrónico, el equipo no completa el inicio del sistema hasta que la directiva de equipo se aplica correctamente. El proceso de inicio de sesión de usuario no se completa hasta que la directiva de usuario se aplique correctamente. En modo asincrónico, si no hay cambios de directiva que requieran un procesamiento sincrónico, el equipo puede completar la secuencia de inicio antes de que se complete la aplicación de la directiva de equipo. El escritorio también puede estar disponible para el usuario antes de que se complete la aplicación de la directiva de usuario cuando esté en modo asincrónico. Después, el sistema aplica periódicamente la directiva de grupo (actualizaciones) en segundo plano. Durante una actualización, la configuración de directiva se aplica de forma asincrónica.
Todo el procesamiento de directivas debe completarse en un plazo de 60 minutos. No hay ningún método para modificar este período de tiempo de espera.
Tras el procesamiento inicial de la directiva de grupo (también denominado aplicación de directivas en primer plano), el sistema aplica (actualiza) periódicamente la directiva de grupo en segundo plano. Durante una actualización, la configuración de directiva se aplica de forma asincrónica.
De forma predeterminada, se produce una actualización cada 90 minutos. El sistema puede agregar un tiempo aleatorio de hasta 30 minutos al intervalo de actualización. Puede cambiar estos valores predeterminados mediante una configuración de directiva de grupo en la extensión Plantillas administrativas de la directiva de grupo. Si el valor es cero minutos, la frecuencia de actualización se fija en siete segundos. No todas las extensiones de directiva de grupo se procesan durante una actualización en segundo plano. Por ejemplo, el procesamiento de redirección de carpetas solo se produce cuando un usuario inicia la sesión. Además, el procesamiento de la directiva de instalación de software solo se produce cuando se inicia un equipo y cuando un usuario inicia la sesión.
Aunque el sistema procesa las extensiones de script para la directiva de grupo durante una actualización en segundo plano, los scripts individuales solo se ejecutan cuando el equipo se inicia y cierra, y cuando un usuario inicia y cierra sesión.
De forma predeterminada, durante una actualización de directivas, una extensión del lado cliente vuelve a aplicar la configuración de directiva solo si detecta un cambio en uno de sus GPO o en su lista de GPO. Este comportamiento es por motivos de rendimiento.
GPO aplicados
Determine si hay alguna configuración de directiva que deba aplicarse siempre a determinados grupos de usuarios o equipos. Cree los GPO que contengan estas configuraciones de directiva, vincúlelos al sitio, dominio u OU adecuados y designe estos vínculos como aplicados. Al establecer esta opción, se aplica la configuración de directiva de un GPO de nivel superior al impedir que los GPO se invaliden en contenedores de Active Directory de nivel inferior. Por ejemplo, si define un GPO específico a nivel de dominio y establece la opción de aplicación obligatoria, las directivas que contiene el GPO se aplican a todas las OU de ese dominio. Los GPO vinculados a las unidades organizativas de nivel inferior no pueden invalidar esa directiva de grupo de dominio aplicada. Si hay varios GPO vinculados en el mismo sitio, dominio o unidad organizativa y tienen establecida la opción de aplicación obligatoria, el vínculo de GPO más alto establecido en aplicación obligatoria tiene prioridad.
Bloquear herencia
Puede usar la opción de herencia de bloques en el nivel de unidad organizativa para detener la configuración aplicada en los niveles locales, de sitio, de dominio y de unidades organizativas superiores. Bloquear la herencia impide que la herencia principal influya en la configuración de equipos o usuarios dentro de la unidad organizativa. Mientras que la herencia bloqueada detiene la configuración que normalmente se aplicaría a equipos y usuarios dentro de una OU, esta configuración no bloquea la configuración aplicada a través de GPO vinculados con la opción aplicada. La aplicación es una propiedad de vínculo y la herencia de directivas de bloque es una propiedad de contenedor. La aplicación obligatoria tiene prioridad sobre la herencia de directivas de bloqueo.
Además, puede deshabilitar la configuración de directiva en el propio GPO de otras cuatro maneras.
- Un GPO se puede deshabilitar
- Un GPO puede tener deshabilitada la configuración del equipo
- Puede tener la configuración de usuario deshabilitada
- Puede tener toda la configuración deshabilitada
Filtrado de directivas de grupo
Puede filtrar si un GPO se aplica mediante el filtrado de seguridad o los filtros de Instrumental de administración de Windows (WMI).
El filtrado de seguridad permite refinar qué usuarios y equipos reciben y aplican la configuración de directiva en un GPO. El filtrado de grupos de seguridad determina si el GPO se aplica a grupos, usuarios o equipos. El filtrado de grupos de seguridad no se puede usar de forma selectiva en diferentes configuraciones de directiva dentro de un GPO.
WMI permite usar una consulta WMI para filtrar la aplicación de la directiva de grupo. Al usar el filtrado WMI, el GPO se aplica a las entidades de seguridad que cumplen las condiciones de la consulta WMI. Cada GPO se puede vincular a un filtro WMI; sin embargo, el mismo filtro WMI se puede vincular a varios GPO. Para poder vincular un filtro WMI a un GPO, debe crear el filtro. El filtro WMI se evalúa en el equipo de destino durante el procesamiento de la directiva de grupo. El GPO solo se aplica si el filtro WMI se evalúa como verdadero.
Modo de procesamiento de bucle invertido
El modo de procesamiento de bucle invertido aplica las opciones de configuración de usuario de objetos de directiva de grupo asignados al equipo, independientemente de quién inicie la sesión. El procesamiento de bucle invertido combinará o reemplazará la configuración de usuario de los GPO asignados al usuario. Esta configuración de directiva es adecuada en ciertos entornos estrechamente administrados con equipos de uso especial, como aulas, quioscos públicos y áreas de recepción. Por ejemplo, es posible que desee habilitar esta configuración de directiva para un servidor específico, en cuyo caso deberá modificar la configuración de usuario en función del equipo que se esté utilizando. Si habilita la configuración de directiva del modo de procesamiento de bucle invertido, el sistema aplicará la misma configuración de directiva de usuario a cualquier usuario que inicie sesión en el equipo, en función de la directiva aplicada al equipo.
Si habilita la configuración de directiva de procesamiento de bucle invertido en un GPO, podrá configurar las directivas de usuario en función del equipo en el que inicien sesión. Sin el procesamiento de bucle invertido, los GPO que aplican un objeto de equipo solo procesarán las opciones de configuración del equipo. Los GPO aplicados a los usuarios solo procesarán las opciones de configuración del usuario. Si habilita la configuración de directiva del modo de procesamiento de bucle invertido, debe asegurarse de que estén habilitadas las opciones Configuración del equipo y Configuración del usuario en el GPO. Esa configuración de directiva se aplica independientemente de qué usuario inicie sesión.
Puede configurar la configuración de directiva de bucle invertido. Para ello, use la Consola de administración de directivas de grupo para editar el GPO y habilitar la configuración de directiva Configurar el modo de procesamiento de bucle invertido de la directiva de grupo de usuario disponible en Computer Configuration\Policies\Administrative Templates\System\Group Policy. Hay dos opciones disponibles:
Modo de combinación: en este modo, la lista de GPO del usuario se recopila durante el proceso de inicio de sesión. A continuación, se recopila la lista de GPO del equipo. A continuación, se agrega la lista de GPO para el equipo al final de los GPO para el usuario. Como resultado, los GPO del equipo tienen mayor prioridad que los GPO del usuario. Si la configuración de directiva entra en conflicto, se aplica la configuración de directiva de usuario de los GPO del equipo en lugar de la configuración de directiva normal del usuario.
Modo de reemplazo: en este modo, no se recopila la lista de GPO para el usuario. En su lugar, solo se usa la lista de los GPO basados en el objeto de equipo. La configuración de usuario de esta lista se aplica al usuario.
Actualización de la directiva de grupo
Los principales mecanismos para actualizar la directiva de grupo son el inicio y el inicio de sesión. La directiva de grupo también se actualiza periódicamente en otros intervalos. El intervalo de actualización de directivas afecta a la rapidez con la que se aplican los cambios en los GPO. De forma predeterminada, los clientes y servidores comprueban los cambios en los GPO cada 90 minutos utilizando un desfase aleatorio de hasta 30 minutos. Es posible que los cambios en la configuración de la directiva de grupo no estén disponibles inmediatamente en los escritorios de los usuarios porque los cambios en el GPO deben replicarse primero en el controlador de dominio correspondiente.
Los controladores de dominio comprueban si la directiva de equipo cambia cada cinco minutos. Esta frecuencia de sondeo se puede cambiar mediante una de estas opciones de configuración de directiva, intervalo de actualización de directiva de grupo para equipos, intervalo de actualización de directiva de grupo para controladores de dominio o intervalo de actualización de directiva de grupo para usuarios. No se recomienda acortar la frecuencia entre las actualizaciones debido al posible aumento del tráfico de red y de la carga que soportan los controladores de dominio.
Los componentes de un GPO se almacenan tanto en Active Directory como en la carpeta SYSVOL de los controladores de dominio. La replicación de un GPO en otros controladores de dominio se produce mediante dos mecanismos independientes:
El sistema de replicación integrado de Active Directory controla la replicación de Active Directory. De forma predeterminada, la replicación suele tardar menos de un minuto entre los controladores de dominio dentro del mismo sitio. Este proceso puede ser más lento si la red es más lenta que una LAN.
Replicación del sistema de archivos distribuido (DFSR) controla la replicación de la carpeta SYSVOL. En los sitios, la replicación se produce cada 15 minutos. Si los controladores de dominio se encuentran en sitios diferentes, el proceso de replicación se produce a intervalos establecidos en función de la topología y la programación del sitio; el intervalo más bajo es de 15 minutos.
Activación de la actualización de la directiva de grupo
Si es necesario, puede desencadenar manualmente una actualización de directiva de grupo de las siguientes maneras:
En un equipo local, escriba
gpupdate.exedesde la línea de comandos. La ejecucióngpupdate.exedesencadena una actualización de directiva para el equipo en el que se ejecuta el comando.Use el cmdlet de PowerShell
Invoke-GPUpdate. Puede usar este cmdlet para desencadenar una actualización del equipo local o para desencadenar una actualización de un equipo remoto.Use la Consola de administración de directivas de grupo para desencadenar una actualización de directiva de grupo en el nivel de unidad organizativa. Para ello, haga clic con el botón derecho en la unidad organizativa y seleccione Actualización de la directiva de grupo.
Optimizar el procesamiento de los GPO
Para reducir la cantidad de tiempo necesario para procesar un GPO, considere la posibilidad de usar lo siguiente.
Cuando un GPO contiene solo las opciones de configuración del equipo o del usuario, deshabilite la parte de la configuración de directiva que no se aplica. Con esta optimización, el equipo de destino no examina las partes de un GPO que se deshabilita, lo que reduce el tiempo de procesamiento.
Combine los GPO más pequeños para formar un GPO consolidado. Esta optimización reduce el número de GPO que se aplican a un usuario o equipo. Aplicar menos GPO a un usuario o equipo puede reducir los tiempos de inicio o inicio de sesión y facilitar la resolución de problemas de la estructura de directivas.