Cómo crear una directiva de grupo en un dominio Active Directory de Microsoft Windows Server 2008 (válido para W2012, W2016 y W2019). Mostramos cómo asignar/vincular una directiva a todos los usuarios/equipos pertenecientes a una Unidad Organizativa (Organization Unit). Indicamos cómo cargar directivas de otro software (como Mozilla Firefox) para, por ejemplo, establecer una página de inicio e impedir que el usuario pueda modificarla.

Requisitos para crear y aplicar una directiva de grupo en un dominio Active Directory

En el siguiente enlace mostramos los requisitos para podemos crear una directiva de grupo y poder aplicarla a todos los usuarios pertenecientes a un dominio de una Unidad Organizativa:

Crear directiva de grupo mediante Administración de directivas de grupo

En uno de los equipos servidores Windows Server del dominio, abriremos Administración de directivas de grupo, desde «Herramientas administrativas» – «Administración de directivas de grupo» (o bien desde «Inicio» – «Ejecutar», escribiendo gpmc.msc):

Crear directiva de grupo mediante Administración de directivas de grupo

Desplegaremos el bosque y el dominio en donde queramos crear la directiva de grupo:

Crear directiva de grupo mediante Administración de directivas de grupo

Nos desplazaremos hacia «Objetos de directiva de grupo» y pulsaremos con el botón derecho del ratón sobre él. En el menú emergente elegiremos «Nuevo»:

Crear directiva de grupo mediante Administración de directivas de grupo

Introduciremos el nombre para la nueva Directiva de Grupo (GPO Group Policy Object). En nuestro caso, puesto que la aplicaremos al dominio proyectoa.local y los usuarios de la unidad organizativa ouFacturacion, la llamaremos «drProyectoA_Facturacion»:

Crear directiva de grupo mediante Administración de directivas de grupo

Una vez creada pulsaremos sobre ella con el botón derecho del ratón y elegiremos «Editar»:

Crear directiva de grupo mediante Administración de directivas de grupo

Desde el editor de directiva podremos establecer todos los valores que queramos que se apliquen a los equipos de los usuarios agregados al dominio. Como ejemplo, estableceremos una directiva de contraseñas para forzar a los usuarios a que sus contraseñas sean seguras y caduquen. Para ello desplegaremos «Configuración del equipo» – «Directivas» – «Configuración de Windows» – «Configuración de seguridad» y «Directiva de contraseñas». En este último árbol será donde establezcamos los siguientes valores:

  • Exigir historial de contraseñas: estableceremos a valor 3, lo que implicará que cuando caduque la contraseña de un usuario no podrá introducir una contraseña que haya introducido anteriormente (recordará las tres últimas).
  • La contraseña debe cumplir los requisitos de complejidad: habilitaremos esta directiva para forzar al usuario a que introduzca contraseñas fuertes, con números, letras, mayúsculas y minúsculas y caracteres especiales.
  • Longitud mínima de la contraseña: forzaremos al usuario para que su contraseña sea de 10 o más caracteres.
  • Vigencia máxima de la contraseña: indicaremos con el valor de 180 días a que la contraseña del usuario, si no la cambia antes, le caducará en 6 meses.
  • Vigencia mínima de la contraseña: se establece automáticamente a 30 días al modificar la directiva anterior.
Crear directiva de grupo mediante Administración de directivas de grupo

Con las directivas de grupo se pueden modificar gran parte de las acciones que se realizan en un equipo de usuario con Windows 7, Windows 8 o Windows 10. incluso se pueden aplicar también a servidores de la organización con Windows Server 2003, Windows Server 2008, Windows Server 2012, Windows Server 2016 o Windows Server 2019.

Otro ejemplo, para establecer una página de inicio para Internet Explorer, accederemos a la directiva:

«Configuración de usuario» – «Plantillas administrativas: definiciones de directiva (recuperadas de archivo ADMX) del almacén central» – «Componentes de Windows» – «Internet Explorer». En esta rama pulsaremos doble clic en «Deshabilitar el cambio de configuración de la página principal»:

Crear directiva de grupo mediante Administración de directivas de grupo

Marcaremos «Habilitada» [1] y en «Página principal» introduciremos la URL de la página que queramos que sea la que se cargue al abrir Internet Explorer, por ejemplo «https://proyectoa.com». Los usuarios no podrán modificar esta página de inicio:

Crear directiva de grupo mediante Administración de directivas de grupo

Cuando hayamos finalizado la edición de la directiva cerraremos la ventana del Editor de administración de directivas de grupo. La directiva quedará guardada y lista para ser aplicada. Si queremos ver un resumen de la directiva podremos seleccionarla y pulsar en la pestaña «Configuración»:

Crear directiva de grupo mediante Administración de directivas de grupo

Una vez creada la directiva, si queremos que tenga efecto deberemos aplicarla a algún objeto o contenedor del dominio. A continuación explicamos cómo asignarla a todos los equipos y usuarios pertenecientes a una unidad organizativa.

Asignar/Vincular directiva de grupo a Unidad Organizativa

Una vez creada la directiva de grupo, como hemos indicando en el capítulo anterior, nos quedará asignar esta directiva a una o varias unidades organizativas, para que se aplique a los usuarios y/o equipos que contengan esta unidad organizativa.

Para ello, desde el Administrador de directivas de grupo (gpmc.msc), pulsaremos con el botón derecho sobre la unidad organizativa a la que queramos asignarle la directiva creada. En nuestro caso sobre «ouFacturacion». En el menú emergente haremos clic en «Vincular una GPO existente…»:

Asignar/Vincular directiva de grupo a Unidad Organizativa

Elegiremos la directiva a aplicar, en nuestro caso la creada anteriormente «drProyectoA_Facturacion»:

Asignar/Vincular directiva de grupo a Unidad Organizativa

Una vez vinculada la directiva de grupo (se pueden vincular tantas directivas de grupo como se quiera a una unidad organizativa), nos aparecerá en la lista. Pulsando con el botón derecho del ratón sobre ella podremos exigir que se aplique, clicando en «Exigir»:

Asignar/Vincular directiva de grupo a Unidad Organizativa

Nos mostrará una confirmación para cambiar la configuración del vínculo de directiva GPO a Exigido, pulsaremos «Sí»:

Asignar/Vincular directiva de grupo a Unidad Organizativa

Incluso podremos deshabilitar su aplicación clicando en «Vínculo habilitado». Desde aquí también podremos editar la GPO pulsando en «Editar» o bien desvincular definitivamente la GPO de la unidad organizativa pulsando en «Eliminar» (no se eliminará la GPO, se eliminará la asignación).

Para comprobar que la directiva se ha aplicado en los equipos/usuarios de la unidad organizativa, accederemos a alguno de ellos y ejecutaremos el comando:

gpresult /R

Nos mostrará las directivas GPO y locales que se aplican al usuario. Vemos que en el equipo Windows 10 se ha aplicado la directiva «drProyectoA_Facturacion»:

Asignar/Vincular directiva de grupo a Unidad Organizativa

Los comandos anteriores no requieren de elevación de privilegios, pueden ejecutarse en un usuario sin permisos especiales. Si queremos ver sólo las directivas que se aplican al equipo (computer), si el usuario actual es limitado, sí que necesitaremos ejecutar la consola de comandos MS-DOS como administradores, para ejecutar el siguiente comando:

gpresult /R /SCOPE computer

Que nos devolverá las directivas aplicadas al equipo.

Y si abrimos Internet Explorer nos cargará como página de inicio la establecida en la directiva y si intentamos modificarla no nos lo permitirá:

Asignar/Vincular directiva de grupo a Unidad Organizativa

Nota importante 1: las directivas de grupo pueden tardar varios minutos en propagarse y aplicarse en los equipos/usuarios asignados. Se puede intentar forzar su aplicación ejecutando en el equipo cliente el comando:

gpupdate /force

Nota importante 2: si se ha establecido una configuración de directiva de la rama «Configuración del equipo»:

Asignar/Vincular directiva de grupo a Unidad Organizativa

se aplicará sólo si hay equipos (computers) en la unidad organizativa elegida para la asignación de la directiva. Lo mismo ocurre con la rama «Configuración de usuario». Es decir, en el ejemplo anterior de creación de la directiva drProyectoA_Facturacion, hemos aplicado una configuración de contraseñas al Equipo y otra configuración del navegador al Usuario. Por ello, si en la UO donde aplicamos la directiva sólo hay usuarios, la directiva se aplicaría, pero solo en la parte de la rama «Configuración de usuario», en este caso no se aplicarían las políticas de contraseñas. Y viceversa, si en la unidad organizativa sólo hay equipos, se aplicaría la directiva, pero solo la rama de «Configuración del equipo», por lo que no se aplicaría la directiva para el navegador.

Cargar directivas adicionales

Cuando no disponemos de una directiva para una acción concreta o para un software concreto, por ejemplo para el navegador Mozilla Firefox, para establecer su página de inicio (entre otras muchas cosas), podremos agregar esta directiva manualmente. A continuación explicamos cómo hacerlo.

Accederemos a la descarga de los ficheros .admx (directivas) y .adml (idioma, lenguaje) desde la web oficial de cada software o elemento del que queramos agregar directivas. En el caso de Mozilla, su web oficial para la descarga de las plantillas ADMX es:

Descargaremos el fichero comprimido que contendrá los ficheros .admx y .adml. Descomprimiremos el fichero «policy_templates_v2.10.zip» y veremos que contiene una carpeta por cada idioma y dos ficheros, firefox.admx y mozilla.admx:

Cargar directivas adicionales

Copiaremos los ficheros anteriores a la ruta del Central Store (la ubicación del Almacén Central para que las directivas estén disponibles para todos los equipos de un dominio Active Directory) de nuestra organización (nuestro dominio Active Directory), que normalmente es:

\\proyectoa.local\sysvol\proyectoa.local\Policies\PolicyDefinitions

Donde «proyectoa.local» será el nombre de nuestro dominio.

Cargar directivas adicionales

Una vez copiados los ficheros firefox.admx y mozilla.admx a la carpeta anterior y la carpeta es-ES con los ficheros firefox.adml y mozilla.adml también a la carpeta anterior, ya no tendremos que hacer nada más.

En el caso de no disponer de un Central Store o de un dominio, para que en la directiva local gpedit.msc aparezca la rama del software correspondiente (en nuestro caso «Mozilla»), copiaremos los ficheros anteriores .admx y .adml a la carpeta:

C:\Windows\PolicyDefinitions

Si ahora abrimos el editor de directivas (como hemos explicado en el punto anterior) y editamos una directiva existente (o agregamos una nueva), nos aparecerá una nueva rama en «Configuración del equipo» – «Directivas» – «Plantillas administrativas: definiciones de directiva (recuperadas de archivo ADMX) del almacén central», llamada «Mozilla». Dentro tendremos todas las directivas que hemos cargado para aplicar al navegador Mozilla Firefox:

Cargar directivas adicionales

Por ejemplo, para establecer la página de inicio e impedir que el usuario pueda cambiarla, desplegaremos «Mozilla» – «Firefox» – «Página de inicio» y estableceremos los siguientes valores para las siguientes directivas:

  • Páginas de inicio adicionales: deshabilitada.
  • Página de inicio: habilitada. En «Opciones» seleccionaremos «Página de inicio»:
Cargar directivas adicionales
  • URL de la página de inicio: habilitada. En URL introduciremos la página de inicio, por ejemplo «https://proyectoa.com». Y marcaremos el check «No permitir que se cambie la página de inicio»:
Cargar directivas adicionales

De esta forma, asignando la directiva a una o varias unidades organizativas, se les aplicará a todos los equipos que la tengan vinculada. Si desde uno de estos equipos abrimos Mozilla Firefox, nos mostrará como página de inicio la establecida en la directiva, y no nos permitirá modificarla:

Cargar directivas adicionales