Editor de políticas del grupo local

Gestionar la configuración de Windows en endpoints independientes o que no pertenecen a un dominio es un desafío al que se enfrentan todos los administradores de TI. El editor de políticas de grupo local, también conocido como gpedit.msc, es la herramienta nativa de Windows que los administradores suelen utilizar para gestionar máquinas individuales..

¿Qué es el editor de políticas del grupo local?

El editor de políticas de grupo local es un snap-in de la consola de administración de Microsoft (MMC), accesible a través de gpedit.msc, que proporciona una interfaz gráfica para administrar el objeto de política de grupo local (LGPO) en un equipo. Permite a los administradores configurar cientos de configuraciones de Windows, desde políticas de contraseñas y asignaciones de derechos de usuario hasta restricciones de software, valores del registro y opciones de seguridad.

A diferencia de la consola de administración de Políticas de grupoPolíticas (GPMC), que administra las GPO implementadas en todo un dominio de Active Directory, el editor de Políticas de grupo local ayuda a administrar las GPO que solo afectan a la máquina en la que se ejecuta.

Los ajustes se dividen en dos nodos principales:

• Configuración del equipo: Contiene todas las Políticas que se aplican al equipo, independientemente de quién inicie sesión.
• Configuración de usuario: Contiene políticas configuradas para usuarios específicos una vez que hayan iniciado sesión.

Cada nodo contiene tres subcontenedores: Configuración de software, Configuración de Windows y Plantillas administrativas. Las Plantillas administrativas es, por mucho, el subcontenedor más grande,conteniendo miles de políticas respaldadas por el registros extraídos de archivos de plantilla ADMX.

Las LGPO no deben confundirse con las GPO de dominio administradas a través de GPMC. En entornos de Active Directory, las GPO de dominio suelen anular la configuración local cuando se producen conflictos.

Política de grupo local vs. Política de grupo de dominio

¿Qué es una política de grupo local?

Una política de grupo local es un conjunto de reglas de configuración almacenadas directamente en una sola máquina Windows. Utiliza una política local, un conjunto de ajustes de Configuración del equipo y Configuración del usuario que Windows aplica a la máquina local en el arranque y al inicio de sesión respectivamente. La política local reside completamente en esa máquina en C: Windows System32 GroupPolicy y no tiene conexión con AD ni con ninguna otra máquina de la red.

¿Qué es una política de grupo de dominio?

Una política de grupo de dominio se refiere a las GPO creadas con AD y gestionadas a través del GPMC en una máquina o controlador de dominio unido a un dominio. Estos GPO se almacenan en SYSVOL, una carpeta replicada en todos los controladores de dominio, y están vinculados a contenedores AD: sitios, dominios o unidades organizativas (OUs). Cuando se inicia una máquina de Windows asociada a un dominio o un usuario inicia sesión, contacta con un DC, luego descarga y aplica las GPO aplicables. Un único GPO de dominio puede imponer configuraciones en cientos o miles de máquinas simultáneamente sin necesidad de configuración relacionada con la máquina. A diferencia de las LGO, las GOP de dominio admiten versionamiento, delegación, filtrado de seguridad, filtrado WMI y registro completo de auditoría.

La orden de procesamiento de LSDOU

Para comprender la diferencia entre una Política de grupo local y una Política de grupo de dominio, es importante entender cómo un equipo Windows procesa las GPO.

Cuando un equipo se une a un dominio, evalúa tanto las Políticas locales como las de dominio. Para evitar conflictos, Windows sigue un orden de procesamiento específico conocido como LSDOU:

1. Políticas del grupo local
2. GPO vinculadas a sitios
3. GPO vinculadas a dominios
4. GPO vinculadas a OU

Dado que las Políticas de dominio y de unidad organizativa se procesan al final, sobrescriben cualquier configuración conflictiva definida en la Política de grupo local. Por ejemplo, si una Política de grupo local permite una unidad USB, pero una Política de grupo de dominio la prohíbe, la unidad USB se bloqueará.

¿Cuándo se debe utilizar la Política de grupo local?

El editor de políticas de grupos locales es la herramienta adecuada para un conjunto específico de escenarios. Fuera de estos, los GPO de dominio o una herramienta de gestión centralizada son casi siempre superiores. Estos incluyen:

• Máquinas independientes o de grupo de trabajo: Endpoints que no están unidos a un dominio y no se pueden inscribir en Active Directory.
• Quioscos o estaciones de uso exclusivo: terminales de punto de venta, navegadores de quioscos o computadoras de recepción con acceso restringido que requieren un bloqueo específico según la política local.
• Configuración de referencia previa a la unión al dominio: Una configuración de seguridad básica que se aplica a una máquina recién configurada antes de que se una al dominio.
• Solución de problemas: Pruebas realizadas en una máquina para comprobar si una configuración de directiva específica resuelve un problema antes de implementarla a través de Active Directory.
• Servidores que no pertenecen a un dominio: servidores de aplicaciones, servidores de archivos o dispositivos periféricos en entornos de grupos de trabajo.

En equipos unidos al dominio, utilice gpresult /h C:\gp-report.html para generar un informe de Conjunto Resultante de Políticas (RSoP). Este informe muestra con precisión qué GPO se aplican y cuáles son sus configuraciones efectivas, lo que ayuda a los equipos a diagnosticar rápidamente conflictos entre las Políticas locales y las del dominio.

Cómo abrir el Editor de políticas de grupo local

Existen varias formas de iniciar gpedit.msc en Windows 11, dependiendo de su flujo de trabajo y de lo que necesite configurar.

Cómo usar el Editor de Políticas de grupo local

Los administradores utilizan principalmente el editor para aplicar las normas de seguridad básicas y restringir el acceso al hardware o al software en máquinas independientes.

1. Abra el editor dePolíticas de grupo local.
2. Navegue hasta el nodo correspondiente. Por ejemplo, para establecer una longitud mínima para la contraseña, vaya a Configuración del equipo >Configuración de Windows >Configuración de seguridad >Políticas de cuenta >Política de contraseñas.
3. Localice la configuración que desea editar y haga doble clic sobre ella para abrir su cuadro de diálogo de propiedades.
4. En la pestaña Configuración de seguridad local, seleccione Habilitado o Deshabilitado. Si corresponde, también puede establecer el valor directamente.
5. Configure las opciones disponibles en la pestaña Opciones, si corresponde.
6. Antes de confirmar, haga clic en la pestaña Explicar para verificar que la configuración haga exactamente lo que espera.
7. Haga clic en Aceptar.
8. Abra el símbolo del sistema como administrador y ejecute gpupdate /force para aplicar la configuración inmediatamente sin esperar al siguiente ciclo de actualización.

Cómo aplicar Políticas de grupo local a usuarios específicos

1. Presione Win + R , escriba mmc.exe y presione Enter.
2. Vaya a Archivo >Agregar/Quitar complemento.
3. Seleccione Editor de objetos de directiva de grupo de la lista y haga clic en Agregar.
4. En el asistente para seleccione objetos de directiva de grupo , haga clic en Examinar en lugar de Finalizar.
5. Dirígese a la pestaña Usuarios.
6. Seleccione un usuario local específico o el grupo de usuarios que no son administradores.
7. Haga clic en Aceptar.
8. Ahora verá una directiva raíz con una etiqueta similar a Directiva de equipo local\Directiva de invitado. Cualquier cambio que realice en Configuración de usuario aquí se aplicará únicamente a ese usuario específico.

Habilitar el registro de auditoría para los cambios en la directiva de grupo local

1. Abra el editor de Políticas de grupo local.
2. Navegue a Configuración del equipo >Configuración de Windows >Configuración de seguridad >Políticas locales >Directiva de auditoría .
3. Habilitar el acceso a objetos de auditoría tanto para casos de éxito como de fracaso .
4. Abra el Explorador de Windows y navegue hasta C:\Windows\System32\GroupPolicy .
5. Haga clic con el botón derecho en Propiedades y vaya a la pestaña Seguridad , luego haga clic en Avanzado > Auditoría .
6. Agregue una entrada de auditoría para todos o para un grupo de administradores específico para las acciones de escritura, eliminación y modificación de permisos.

Si necesita implementar una configuración de directiva de grupo local coherente en varias máquinas independientes sin Active Directory, la utilidad LGPO.exe del Kit de herramientas de cumplimiento de seguridad de Microsoft es la herramienta adecuada para esta tarea.

Limitaciones del editor de Políticas de grupo local

El editor de políticas de grupos locales no deja un registro de auditoría nativo. Cuando un administrador o atacante con derechos de administrador modifica un LGPO utilizando gpedit.msc, Windows no escribe un evento correspondiente en el log de eventos de seguridad por defecto. No hay un registro incorporado de lo que cambió, cuándo ocurrió o quién hizo el cambio. Esta es una brecha de seguridad significativa, especialmente en entornos donde se comparten las credenciales de administrador local o donde la violación de los puntos finales es un problema. La modificación no autorizada de LGPO es una técnica eficaz de persistencia y aumento de privilegios. Si la auditoría no está configurada explícitamente, los atacantes pueden usar gpedit.msc para desactivar Windows Defender, eliminar las políticas de bloqueo de cuentas y modificar los derechos de usuario, todo sin generar una seguridad.

Solución de problemas comunes del Editor de Políticas de grupo local

• Error:Windows no puede encontrar gpedit.msc.

  Solución: Esto puede ocurrir al intentar instalar el Editor de Políticas de grupo local en equipos con Windows Home. Actualice sus equipos a Windows Pro o Enterprise (versiones 10 u 11) para solucionar este problema.

• Error:MMC no pudo crear el complemento.

  Solución: Este error aparece al iniciar gpedit.msc o al agregar manualmente el complemento Editor de objetos de directiva de grupo local mediante mmc.exe. Esto podría deberse a un registro de complemento dañado o faltante. Vuelva a registrar las bibliotecas de vínculos dinámicos (DLL) principales de la directiva de grupo desde un símbolo del sistema con privilegios de administrador o reinicie el equipo e intente abrir gpedit.msc nuevamente. Este error también puede aparecer porque el complemento se ejecutó como un usuario sin privilegios de administrador. Puede solucionarlo haciendo clic con el botón derecho en gpedit.msc o mmc.exe y seleccionando Ejecutar como administrador .

• Error:Los cambios en la directiva de grupo no se están aplicando .

  Solución: Los cambios realizados en gpedit.msc se aplican en el siguiente ciclo de actualización. Para forzar una actualización inmediata, ejecute el cmdlet gpupdate /force desde un símbolo del sistema con privilegios de administrador.

Gestión de GPO a gran escala

El Editor de Políticas de grupo local es una herramienta útil cuando el ámbito de aplicación previsto es un único equipo, un usuario específico o un pequeño grupo de dispositivos independientes. Más allá de eso, se convierte en un problema operativo.

ADManager Plus proporciona a los equipos de TI una plataforma centralizada para administrar y generar informes sobre las Políticas de grupo en todo el entorno de Active Directory. Desde una única consola, los administradores pueden:

• Cree al instante nuevas GPO y vincúlelas a las unidades organizativas, dominios o sitios correspondientes desde un único lugar.
• Tome el control total de tu Active Directory administrando las GPO y sus vínculos con tan solo unos clics.
• Mantenga estándares de seguridad estrictos mediante la aplicación de Políticas de grupo (GPO) o la gestión de la herencia de las mismas para garantizar que las políticas críticas nunca se eludan.
• Migre sin esfuerzo las GPO entre diferentes dominios dentro de un bosque, lo que garantiza una aplicación coherente de las políticas durante las reestructuraciones o fusiones.
• Obtenga información en tiempo real sobre su entorno con informes GPO especializados.

Preguntas frecuentes

1. ¿Qué es el editor de políticas del grupo local?

   El Editor de Políticas de grupo local es un complemento de la Consola de administración de Microsoft (MMC) que proporciona una interfaz única para administrar todas las configuraciones de las GPO locales. Permite a los administradores de TI administrar los componentes del sistema y de Windows sin editar manualmente el registro.

2. ¿El Editor de Políticas de grupo local es lo mismo que la Consola de administración de Políticas de grupo?

   No. El Editor de Políticas de grupo local administra el objeto de directiva de grupo local (LGPO) en una sola máquina, mientras que la Consola de administración de Políticas de grupo (GPMC) administra los GPO dentro de Active Directory (AD), aplicando la configuración a través de AD a varias máquinas, incluidas unidades organizativas (OU), dominios y sitios. Tanto el Editor de Políticas de grupo local como la GPMC utilizan interfaces similares, pero su alcance, almacenamiento y precedencia son completamente diferentes.

3. ¿Cómo abro el editor de Políticas de grupo local?

   La forma más directa de abrir el editor es pulsar Win + R , escribir gpedit.msc en el cuadro de diálogo Ejecutar y, a continuación, pulsar Intro. También puede encontrarlo buscando «Editar directiva de grupo» en el menú Inicio de Windows o escribiendo gpedit.msc en una ventana del símbolo del sistema o de PowerShell.

4. ¿Las Políticas de grupo de Active Directory (GPO) anulan la directiva de grupo local?

   Sí. Windows procesa las Políticas en un orden específico conocido como LSDOU: local (L), sitio (S), dominio (D) y, por último, unidades organizativas (OU). Dado que las Políticas locales se procesan primero y las de dominio y OU se procesan al final, cualquier configuración conflictiva en una GPO de Active Directory anulará la configuración de la Directiva de grupo local.

5. ¿Cómo puedo restablecer la Directiva de grupo local a sus valores predeterminados?

   Para restablecer todas las Políticas locales, debe eliminar las carpetas de almacenamiento de Políticas. Navegue hasta C:\Windows\System32\GroupPolicy y C:\Windows\System32\GroupPolicyUsers , elimine el contenido de ambas carpetas (es posible que deba mostrar los archivos ocultos) y, a continuación, ejecute el comando gpupdate /force en un símbolo del sistema con privilegios de administrador.

6. ¿Puedo usar el Editor de Políticas de grupo local en un equipo unido a un dominio?

   Sí, puede usar la herramienta para configurar los ajustes localmente. Sin embargo, generalmente no se recomienda en entornos empresariales, ya que los cambios locales son difíciles de auditar. Además, si un administrador de dominio crea una GPO que contradice su configuración local, la GPO de dominio tendrá prioridad.

7. ¿Cuál es la diferencia entre gpedit.msc y secpol.msc?

   El Editor de Políticas de grupo local gestiona todas las configuraciones locales, incluida la interfaz de usuario y el comportamiento del sistema, mientras que secpol.msc es un subconjunto que se centra exclusivamente en configuraciones específicas de seguridad, como las Políticas de contraseñas y los derechos de auditoría.

8. ¿Cómo habilito gpedit.msc en Windows 11 Home?

   El Editor de Políticas de grupo local no viene incluido de forma predeterminada en Windows 11 Home y solo está disponible en las ediciones Pro, Enterprise y Education.

9. ¿Cómo puedo restablecer la configuración de la Directiva de grupo a los valores predeterminados?

   Puede restablecer la configuración de la Directiva de grupo eliminando o cambiando el nombre de las carpetas GroupPolicy y GroupPolicyUsers ubicadas en C:\Windows\System32\GroupPolicy y, a continuación, reiniciando el sistema. Como alternativa, también puede ejecutar el siguiente script en el Símbolo del sistema:

   Haz clic para copiar el script

   RD /S /Q "%WinDir%\System32\GroupPolicy"
   RD /S /Q "%WinDir%\System32\GroupPolicyUsers"

   Una vez eliminado, ejecute el comando gpupdate /force en un símbolo del sistema con privilegios de administrador para actualizar el registro local y restaurar la configuración a sus valores predeterminados de Windows.

10. ¿Se pueden deshacer los cambios realizados en el Editor de Políticas de grupo?

    Sí, pero el método depende del tipo de cambio. Para configuraciones individuales, puede devolver una directiva a su estado no configurado, que normalmente elimina la clave de registro asociada con esa política. Sin embargo, dado que gpedit.msc no tiene un botón de desactivación nativo o historial de versiones, es difícil rastrear exactamente lo que se cambió.

11. ¿Funciona el Editor de Políticas de grupo en Windows Server?

    Sí, el editor de políticas de grupo local está disponible en todas las versiones modernas de Windows Server. Si bien los servidores suelen gestionarse a través de GPO de dominio a través de GPMC, gpedit.msc se utiliza frecuentemente en ellos para el endurecimiento de la política de seguridad local y para configurar roles específicos antes de que cualquiera de ellos sea unido a un dominio AD