El Blog personal de GuilleSQL Destroy On Sight - Listen Up !!

Múltiples Políticas Locales (MLGPO), Registry.pol, Ficheros ADM y ADMX/ADML, y el Central Store


Una de las ventajas de trabajar con Directorio Activo, es la posibilidad de utilizar Políticas (GPO), es decir, definir configuraciones de equipo y/o usuario, que puedan aplicarse a equipos y/o usuarios determinados (interesante conocer las plantilla ADM y/o ADMX/ADML y el Central Store, para optimizar la Replicación de Directorio Activo). Sin embargo, existen casos en los cuales no se trabaja con Directorio Activo (ej: pequeñas redes de trabajo en grupo, equipos que actúan como Kioskos para el acceso a Internet, equipos portátiles de empleados que trabajan desconectados de las oficinas, etc), en los que puede resultar de utilidad utilizar Múltiples Políticas Locales (MLGPO), siempre que estemos trabajando con Windows Vista/2008 o superior.

Con Windows 2000 y XP, existía una única política local, que permitía aplicar configuraciones de usuario y máquina. Sin embargo, con Windows Vista y Windows Server 2008, se ha introducido la posibilidad de crear múltiples políticas locales (MLGPO). En particular, pueden utilizarse los siguientes tipos de políticas locales, que se aplicarán en el mismo orden en que quedan enumeradas a continuación (ojo, que en caso de conflicto, la última en aplicarse, sobrescribe - Last writer wins):

  • Local Computer Policy (%windir%\system32\grouppolicy\). Se aplica en todos los casos, e incluye configuraciones de equipo y de usuario (primero se aplican las configuraciones de equipo y luego se aplican las configuraciones de usuario). Es la única que existía en Windows 2000 y XP.
  • Administrators Policy (%windir%\system32\grouppolicyusers\s-1-5-32-544\). Sólo incluye configuraciones de usuario. Se aplica exclusivamente a los usuarios miembros del grupo local de administradores.
  • Non-Administrators Policy (%windir%\system32\grouppolicyusers\s-1-5-32-545\). Sólo incluye configuraciones de usuario. Se aplica exclusivamente a los usuarios que NO son miembros del grupo local de administradores.
  • User-Specific Policies (%windir%\system32\grouppolicyusers\<ssid>\). Sólo incluye configuraciones de usuario. Se definen a nivel de cada usuario individual. Téngase en cuenta, que no se puede definir a nivel de grupo local.

Esto forma una estructura de tres capas:

  • Local Computer Policy.
  • Administrators Policy ó Non-Administrators Policy.
  • User-Specific Policies.

Si el equipo local, es miembro de un dominio de Directorio Activo, las configuraciones de las políticas (GPO) del dominio podrían sobrescribir a las políticas locales. En cualquier caso, es posible deshabilitar el procesamiento de políticas locales utilizando una GPO de Directorio Activo, activando la siguiente configuración:

computer configuration\administrative templates\system\group policy\turn off local group policy objects processing

Para editar o crear una Política Local, en una MMC agregaremos el snap-in Group Policy Object Editor. En el diálogo Welcome to the Group Policy Wizard, click Browse para seleccionar la Política que deseamos editar.

Select Group Policy Object

En el diálogo Browse for a Group Policy Object, podemos seleccionar la opción This computer de la pestaña Computers, para editar la Local Computer Policy.

Browse for a Group Policy Object - Computers

En su defecto, podemos seleccionar la pestaña Users, y dentro de la misma, podemos seleccionar el elemento Administrators para editar la Administrators Policy, el elemento Non-Administrators para editar la Non-Administrators Policy, o un usuario local (ej: el usuario Administrator) para editar la User-Specific Policies correspondiente a dicho usuario.

Browse for a Group Policy Object - Users

Nótese, que la columna Group Policy Object exists indica si existe o no la política correspondiente. Además, podemos utilizar el botón derecho sobre los distintos elementos, por ejemplo, para ver las propiedades de la GPO correspondiente, para eliminarla (opción Remove Group Policy Objetct del menú contextual), etc.

Ficheros ADM (Administrative Templates) y Registry.pol con Windows Server 2003

Una parte importante de las políticas, son los ficheros ADM (Administrative Templates).  Los ficheros ADM definen las configuraciones que se pueden establecer a través de las políticas (GPO), la interfaz de usuario utilizada para realizar dichas configuraciones, las claves y valores del Registro de Windows afectados por dichas configuraciones, etc., para lo cual, utilizan un formato propietario (se pueden editar con el NotePAd, al tratarse de ficheros de texto plano, pero claro, a ver quién es el majo que mete mano ahí, al margen, que en todo caso deberían crearse nuevos ficheros ADM y jamás modificar los incluidos con Windows).

La propia política en sí, es decir, los valores de sus configuraciones, se almacena en los ficheros Registry.pol, los cuales especifican las configuraciones de registros a aplicar, etc., pudiendo existir un Registry.pol para las configuraciones de equipo y otro Registry.pol para las configuraciones de usuario. Dicho de otro modo, el equipo o usuario al que se le aplica una política sólo necesita los ficheros Registry.pol y no necesita los ficheros ADM. Este detalle, no es una tontería.

Por ejemplo, Windows Server 2003 incluye las siguientes plantillas ADM por defecto: System.adm, Inetres.adm, Conf.adm, Wmplayer.adm, Wuau.adm. Estas plantillas ADM, en Windows Server 2003 son almacenadas en %windir%\Inf, y siempre que se crea y edita una GPO con la herramienta administrativa Group Policy Object Editor en Windows Server 2003, se copian los 3 MB de ficheros ADM al subdirectorio ADM del directorio de la GPO en SYSVOL (osea, que si tengo 90 GPOs, entonces tendré un mínimo de 270 MB sólo en ficheros ADM dentro de SYSVOL, aunque no los utilice todos en todas las GPOs, y en consecuencia, estarán replicando por FRS entre todos los Controladores de Dominio). Ojo, que si sólo se crea la GPO, y no se edita, no se habrán copiado los ficheros ADM.

Importante, tener en cuenta que al editar una GPO con la herramienta administrativa Group Policy Object Editor, si los ficheros ADM existentes en la máquina utilizada para editar la GPO son posteriores (TimeStamp), entonces los ficheros ADM locales de dicha máquina, se copian sobrescribiendo los ficheros ADM existentes en la carpeta de la GPO. Esto puede producir alguna situación poco deseable, sobre todo, si se modifican las plantillas ADM incluidas por defecto con el Sistema Operativo.

También puede resultar problemática la administración de GPOs con equipos en diferentes idiomas, ya que las plantillas ADM soportan un único idioma (no son multi-idioma), y al crear una GPO desde un equipo en francés se copiaran las plantillas ADM en francés, lo que puede tener ciertos efectos, al intentar editar esa misma GPO desde un equipo en inglés (por poner un ejemplo). La misma problemática se puede producir con la administración de GPOs con equipos en diferente versión de Sistema Operativo y/o de Service Pack.

Es posible quitar plantillas ADM que no utilizamos en una GPO y/o incluir plantillas ADM adicionales para poder establecer configuraciones adicionales. Para ello, al editar una política con la herramienta administrativa Group Policy Object Editor, click con el botón derecho sobre el nodo Administrative Templates, y seguidamente click sobre Add/Remove Templates.

Group Policy Object Editor - Administrative Templates - Add/Remove Templates

Existen dos configuraciones de políticas (GPO) que podemos utilizar para ayudarnos en la gestión de ficheros ADM:

  • Turn off automatic updates of ADM files. Disponible en User Configuration\Administrative Templates\System\Group Policy. Se aplica sólo a Windows 2000, Windows XP y Windows Server 2003.
  • Always use local ADM files for Group Policy editor. Disponible en Computer Configuration\Administrative Templates\System\Group Policy. Se aplica sólo a Windows XP y Windows Server 2003. Implica de forma implícita, que también se active la opción Turn off automatic updates of ADM files.

La utilización de estas dos configuraciones, puede ayudar a aliviar seriamente los problemas de gestión de GPOs y de ficheros ADM, además de conseguir minimizar el tamaño de la carpeta SYSVOL, mejorando significativamente la replicación de Directorio Activo.

Ficheros ADMX/ADML (Administrative Templates XML y multi-idioma) y el Central Store

Con Windows Server 2008 y Windows Vista, se introdujeron los ficheros ADMX/ADML, lo cuales incorporan como principales novedades, que utilizan el formato XML y que son multi-idioma. Los ficheros ADMX, los podemos encontrar en %windir%\PolicyDefinitions. En esta misma carpeta, también podemos encontrar uno o varios directorios por idioma, en los cuales se almacenan los correspondientes ficheros ADML.

Ficheros ADMX

Los ficheros ADMX/ADML son un superconjunto de los antiguos ficheros ADM. En consecuencia, los ficheros ADM no son incluidos en Windows Server 2008, Windows Vista, y versiones posteriores, ya que los ficheros ADMX/ADML mantienen la compatibilidad con los antiguos ficheros ADM (aunque no se copian al directorio de la GPO que está siendo modificada). Además, en caso de que la GPO utilice algún fichero ADM personalizado, al editar dicha GPO desde Windows Server 2008, Windows Vista o superior, se mostrarán las configuraciones incluidas en dicho fichero ADM. Es más, podremos utilizar la opción Add/Remove Templates.

Otra mejora introducida con Windows Server 2008 y Windows Vista, es el Central Store. En versiones anteriores de Windows, las plantillas ADM se guardaban una vez para cada GPO definida, lo cual, sobrecargaba el tamaño de SYSVOL. Con Windows Server 2008 y Windows Vista, es posible crear una única carpeta en SYSVOL, denominada Central Store, la cual almacene una única vez todas las plantillas ADMX/ADML, de forma compartida para todas las GPO del mismo dominio, optimizando así el tamaño de SYSVOL (y en consecuencia, optimizando la replicación de Directorio Activo).

Para crear el Central Store, es necesario crear manualmente una carpeta denominada PolicyDefinitions, dentro de la carpeta Policies de SYSVOL (ej: \\FQDN\SYSVOL\FQDN\policies\PolicyDefinitions), y seguidamente, copiar manualmente todos los ficheros ADMX/ADML desde un equipo cliente (ej: un Windows Server 2008, un Windows Vista, etc.).

Resolución de problemas de Políticas (GPOs)

Las principales herramientas de que disponemos para resolución de problemas con Políticas (GPOs) en Windows Vista, Windows 7, Windows Server 2008 y Windows Server 2008 R2, son las siguientes:

  • Event Viewver. Además de los registros del Visor de Sucesos del Sistema con origen Group Policy (Source: Group Policy), puede encontrarse información más detallada del procesamiento de políticas (GPOs) en Applications and Service Logs\Microsoft\Windows\Group Policy\Operational (reemplaza al fichero userenv.log de versiones anteriores de Windows).
  • gpresult.exe. Herramienta de línea de comandos que permite identificar qué Políticas (GPO) han sido aplicadas y cuáles no han sido aplicadas (ej: gpresult /r), obtener información detallada de las Políticas (GPO) aplicadas y de las que no (gpresult /z), etc.
  • Resultant Set of Policy (RSoP). Herramienta administrativa (MMC) que permite analizar las Políticas (GPO) aplicadas y no aplicadas.

Algunos enlaces de interés

Para finalizar este artículo, tan sólo queda incluir unos cuantos enlaces de interés, para quién desee ampliar información.

 Como siempre, espero que os guste.

 


[Fecha del Artículo (UTC): 19/07/2010]
[Autor: GuilleSQL]



Escribir un Comentario

Para poder escribir un comentario, debe Iniciar Sesión con un usuario.

Si no dispone de un usuario, puede Registrarse y hacerse miembro.

Si dispone de un usuario, pero no recuerda sus credenciales de acceso, puede Restablecer su Contraseña.




Menu de Usuario
  Iniciar Sesión
  Registrarse
  Restablecer Contraseña
  Ventajas de Registrarse


Archivo

Diciembre de 2015 (1)
Septiembre de 2014 (2)
Agosto de 2014 (1)
Julio de 2014 (2)
Junio de 2014 (5)
Mayo de 2014 (11)
Abril de 2014 (1)
Febrero de 2014 (4)
Octubre de 2013 (1)
Septiembre de 2013 (1)
Enero de 2013 (1)
Noviembre de 2012 (2)
Julio de 2012 (2)
Marzo de 2012 (1)
Enero de 2012 (3)
Diciembre de 2011 (3)
Junio de 2011 (1)
Mayo de 2011 (1)
Marzo de 2011 (1)
Enero de 2011 (6)
Diciembre de 2010 (7)
Noviembre de 2010 (1)
Octubre de 2010 (2)
Septiembre de 2010 (3)
Agosto de 2010 (2)
Julio de 2010 (4)
Junio de 2010 (1)
Mayo de 2010 (5)
Abril de 2010 (4)
Marzo de 2010 (5)
Febrero de 2010 (2)
Enero de 2010 (4)








Esta información se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.
This information is provided "AS IS" with no warranties, and confers no rights.

Copyright © 2009 GuilleSQL, todos los derechos reservados. Powered by SQL Server.

Visitas recibidas (Page Loads) en el Blog personal de GuilleSQL (fuente: StatCounter):

screen resolution stats
Visitas