Administrar la herencia de directivas de grupoPara aplicar la configuración de un objeto de directiva de grupo (GPO) a los usuarios y equipos de un dominio, un sitio o una unidad organizativa, puede vincular el dominio, el sitio o la unidad organizativa a ese GPO. En la Consola de administración de directivas de grupo puede agregar uno o varios vínculos de GPO a cada dominio, sitio o unidad organizativa. La configuración implementada por los GPO vinculados a contenedores de nivel superior (contenedores primarios) de Active Directory se hereda de forma predeterminada en los contenedores secundarios y se combina con la configuración implementada por los GPO vinculados a contenedores secundarios. Si varios GPO intentan establecer valores contradictorios en una opción, prevalecerá el GPO que tenga mayor precedencia. El procesamiento de los GPO se basa en el principio de que prevalece el último en llegar y los GPO procesados con posterioridad tienen precedencia sobre los procesados anteriormente. Los objetos de directiva de grupo se procesan en el orden siguiente:

1. Se aplica el objeto de directiva de grupo local (LGPO). 2. GPO vinculados a sitios. 3. GPO vinculados dominios. 4. GPO vinculados a unidades organizativas. En caso de haber unidades

organizativas anidadas, los GPO asociados a unidades organizativas primarias se procesan antes que los GPO asociados a unidades organizativas secundarias.

Los vínculos a un determinado sitio, dominio o unidad organizativa se aplican en orden inverso al orden de los vínculos. Por ejemplo, un GPO con Orden de vínculos 1 tiene la máxima precedencia sobre otros GPO vinculados a ese contenedor.

Para ver el orden de precedencia de los GPO de un sitio, dominio o unidad organizativa determinados, abra la ficha Herencia de directivas de grupo de ese sitio, dominio o unidad organizativa. Observe que al mostrar la ficha Herencia de directivas de grupo de un dominio o de una unidad organizativa, los GPO vinculados a sitios no aparecen. Ello se debe a que el sitio específico en el que se encuentra un equipo no se conoce previamente. Además, cuando se observa un sitio la única diferencia entre las fichas Herencia de directivas de grupo y Objetos de directivas de grupo vinculados es que en la primera se tiene en cuenta el atributo de obligatoriedad (que se describe más abajo).

Para obtener más información general acerca del procesamiento de vínculos de GPO y su precedencia, incluido el orden de procesamiento predeterminado, vea Procesamiento y precedencia de directivas de grupo.

Es posible controlar aún más la precedencia y el modo en que los vínculos de GPO se aplican en determinados dominios, sitios o unidades organizativas de las formas siguientes:

Cambiar el orden de los vínculos.

Dentro de cada dominio, sitio o unidad organizativa, el orden de los vínculos determina cuándo se aplican. Para cambiar la precedencia de un vínculo puede cambiar el orden de los vínculos, desplazando cada uno hacia arriba o hacia abajo en la lista hasta la ubicación deseada. El vínculo con mayor orden (donde 1 es el orden máximo) tiene la máxima precedencia para un sitio, dominio o unidad organizativa determinados. Por ejemplo, si agrega seis vínculos de GPO y posteriormente decide que el último que ha agregado debe tener la máxima precedencia, puede desplazar ese vínculo a la primera posición de la lista.

Bloquear la herencia de directivas de grupo.

Es posible bloquear la herencia de directivas de grupo en un dominio o en una unidad organizativa. Con el bloqueo de la herencia se impide que los GPO vinculados a sitios, dominios o unidades organizativas superiores se hereden automáticamente en el nivel secundario. De forma predeterminada, los niveles secundarios heredan todos los GPO del nivel primario, pero en algunas ocasiones resulta útil bloquear la herencia. Por ejemplo, si desea aplicar un único conjunto de directivas a todo un dominio, excepto a una unidad organizativa, puede vincular los GPO necesarios en el nivel de dominio (cuyas directivas heredan todas las unidades organizativas de forma predeterminada) y a continuación bloquear la herencia únicamente para la unidad organizativa a la que no deben aplicarse esas directivas.

Forzar un vínculo de GPO.

Para especificar que la configuración establecida por un vínculo de GPO prevalezca sobre la configuración de cualquier objeto secundario, puede establecer la opción Forzado para ese vínculo. Los vínculos de GPO forzados no pueden bloquearse desde el contenedor primario. Sin forzado desde arriba, la configuración de los vínculos de GPO de mayor nivel (primario) se sobrescribe con la configuración de los GPO vinculados a unidades organizativas secundarias, en caso de que los GPO especifiquen valores contradictorios. Con el forzado u obligatoriedad, el vínculo de GPO primario siempre prevalece. De forma predeterminada no se fuerzan los vínculos de GPO. En las herramientas anteriores a GPMC, el concepto de "forzado" se denominaba "No reemplazar".

Deshabilitar un vínculo de GPO.

De forma predeterminada, el procesamiento está habilitado para todos los vínculos de GPO. Para bloquear completamente la aplicación de un GPO para un sitio, dominio o unidad organizativa determinados, puede deshabilitar el vínculo de GPO para ese

dominio, sitio o unidad organizativa. Tenga en cuenta que con ello no se deshabilita el GPO propiamente dicho y que si el GPO está vinculado a otros sitios, dominios o unidades organizativas, éstos seguirán procesándolo si sus vínculos están habilitados.

Para obtener más información acerca de estas tareas, vea Controlar el ámbito de los objetos de directiva de grupo.

Importante

No se pueden bloquear los vínculos de GPO establecidos como forzado (no reemplazar).

Las opciones de forzado y bloqueo de herencia deben utilizarse con poca frecuencia. El uso incontrolado de estas características avanzadas complica la solución de problemas.

Además de utilizar vínculos de GPO para aplicar directivas, también puede controlar el modo en que se aplican los GPO mediante filtros de seguridad o filtros WMI.