Directivas de Grupo (“Group Policy Objects”) – Optimización de ADM y ADMX

En esta nota vamos a tratar el tema de las Directivas de Grupo (“Group Policy Objects”) o más conocidas por GPOs, su evolución y optimización

No ahorraré críticas desde el comienzo, ya que la localización al español la considero realmente mala, pero realmente me enfocaré desde la ineficiencia del diseño inicial, hasta cómo podemos mejorar todo a partir en las versiones actuales del sistema operativo

Comencemos con la crítica :-) Que las llamadas “Group Policy Objects” se haya traducido como “Objeto Directivas de Grupo”, además que pienso que no es correcta, ha llevado a muchísimas confusiones a los administradores de Dominios Active Directory.
Porque si mi español no me está jugando una mala pasada “Objeto Directiva de Grupo” implica que es algo que se aplica a grupos, y en particular si se nombra “grupo” en ambiente de Active Directory no tengo dudas a qué se refiere, grupos de Dominio

Y aunque se puede hacer el filtrado de seguridad por grupos, nada más lejos de la realidad ya que estas GPOs son para aplicar, mediante enlaces a Sitios, Dominios y Unidades Organizativas

Alcanza con ver cualquier foro de soporte para darse cuenta que los administradores sin conocimientos de inglés, la pasan bastante mal hasta que comprenden el significado real

Es algo personal, pero yo lo hubiera traducido como “Objeto Conjunto de Directivas” u “Objeto Conjunto de Configuraciones”. Pero bueno, ya está y es así como Microsoft lo ha decidido

Teniendo lo anterior en claro, vamos a ver cómo eran originalmente desde Windows Server 2000 y cómo llegaron hasta W2003

Cuando editamos una GPO, las llamaré así en adelante para evitar confusiones y ahorrar escribir, podemos observar que hay varias “ramas”, pero tanto en la parte de máquina como de usuario hay una llamada “Administrative Templates” (Plantillas administrativas)
Todas las configuraciones en dichas rama configuran valores del Registro (“Registry”) tanto en la parte de máquina (HKLM) como en la parte de usuario (HKCU/HKU)

Todas las configuraciones que aparecen en ambas ramas “Administrative Templates” están determinadas justamente en archivos plantillas provistos por el sistema o las aplicaciones, llamados Plantillas administrativas”
Sobre esto último, pocos conocen que productos, como por ejemplo Office, dispone de plantillas administrativas propias, y que permiten al administrador configurar Office por GPO
Como aclaración para el caso específico de Office, se descargan desde el sitio de Microsoft, o en alguna versión eran parte del Kit de Recursos de Office

De todas formas, mantengámos en las que vienen con el sistema operativo

En Windows Server 2000 y Windows Server 2003, estas plantillas administrativas son archivos con extensión ADM, y alcanza con que una GPO contenga alguna configuración en “Administrative Templates” para que la correspondiente GPO tenga una copia de cada uno de los ADMs

La siguiente captura de pantalla fue hecha sobre un Windows Server 2003 R2 donde he definido una nueva GPO, y he hecho una configuración (cualquiera puede ser) en “Administrtive Templates”

Como podemos observar en la figura anterior, por el sólo hecho de haber hecho una configuración, la GPO se carga con los cinco ADMs por omisión

Hay que tener en cuenta que cada GPO que se crea, lleva su propia copia de los archivos ADM, con lo cual en primera instancia podemos nombrar una pobre eficiencia, ya que qué sentido tiene que todas las GPOs se lleven la misma información multiples veces, y que además hay que replicarla en todos los Controladores de Dominio del Dominio

Pero el problema no termina con eso, es mucho peor, ya que cada Service Pack suele agregar más ADMs o inclusive modificar los mismos ADMs. Y como consecuencia cada GPO dependiendo de cuándo fue creada tendrá diferentes versiones de ADM

Y además, dependiendo si la GPO se editaba, desde “Usuarios y Equipos de Active Directory” (en W2000 y W2003 se podía hacer), o con GPMC (“Group Policy Management Console” era un “add-on”), o con las herramientas administrativas desde una estación de trabajo, usaba la copia local, o la copia en el Controlador de Dominio, y actualizaba una u otra, o no, … resumiendo, les puedo asegurar que era una verdadera pesadilla :-(

Todo esto mejoró mucho a partir de Windows Server 2008, que primero cambió el formato de las plantillas administrativas, no más ADM, ahora son ADMX (XML format), complementadas por ADML (con el idioma correspondiente)

Ya no estaban más copiadas en cada GPO, sino que estaban guardadas en la carpeta C:\Windows\PolicyDefinitions. Pero esto también puede ser un problema, ya que, aunque el editor de GPO por omisión se enfoca siempre en el Controlador de Dominio que tiene el rol “PDC Emulator” (Emulador PDC), pueden llegar a convivir diferentes versiones de ADMXs/ADMLs. Ya veremos más adelante cómo solucionarlo (Central Store)

Como podemos observar en la siguiente captura de pantalla, aunque es igual con Windows Server 2008, yo lo he hecho con W20012 R2, si creamos una GPO y configuramos un “Administrative Template”, no hay una copia de las plantillas dentro de la GPO

La duda que se me planteó fue ¿qué sucede cuando en un Dominio Windows Server 2003 agregamos un Controlador de Dominio Windows Server 2012 R2? ¿Se mantienen los ADMs? ¿Se eliminan sólos? ¿Hay que hacerlo manualmente? muchas dudas …

Así que, teniendo instalado un Windows Server 2003 como Controlador de Dominio, en el que hay creada una GPO con “Administrative Templates” configurado, procedí a agregar un Controlador de Dominio adicional con Windows Server 2012 R2

Como era de esperar, luego de la replicación, la GPO creada en W2003 con sus correspondientes ADMs fue copiada exactamente en el W2012R2

Podemos observar que la misma es compatible con la nueva versión W2012R2

Pero cuando la edito puedo observar que en lugar de estar usando los ADMs, está utilizando los ADMX del nuevo servidor

Me pregunté entonces ¿para qué están los ADMs? ¿qué sucede si los elimino? Por las dudas los moví a una carpeta Provisoria

Sin embargo, como el editor de GPOs está tomando la información de los ADMX, la GPO mantenía la información

Y la replicación se había encargado de eliminar los archivos ADM en el W2003

Si trato de editar esta GPO desde el W2003 encuentro que no ha quedado nada dentro de “Administrative Templates”, y por lo tanto no puedo editarla, aunque por supuesto desde el W2012 R2

Pensando… pensando… ¿y qué sucede entonces si hay alguna máquina con W2003 o XP? ¿tomará igual la configuración? Así que agregué un servidor miembro del Dominio con W2003, y podemos observar que toma la GPO. Esto es totalmente lógico ya que el procesamiento siempre es en el cliente

¿Y la aplicará? lo que ven es justamente lo que había configurado en la GPO, ya que anteriormente estaba deshabilitado (El “Shutdown Event Tracker”)

Y nos está faltando lo último para optimizar todo. Sería ideal que los ADMXs/ADMLs los pudiéramos tener unificados y en un lugar centralizado, para usar siempre los mismos no importando desde dónde se esté editando la GPO

Esto es muy fácil. Simplemente debemos crear una carpeta dentro de SYSVOL con el nombre “Policy Definitions” y copiar ahí los ADMXs/ADMLs

Así que abrimos una ventana sobre \SYSVOL\Policies”\<NombreDominio>\SYSVOL\<NombreDominio>\Policies y creamos la carpeta correspondiente

En mi caso \\guillermo.local\SYSVOL\guillermo.local\Policies\PolicyDefinitions

Donde copiaremos todo el contenido de la carpeta C:\Windows\PolicyDefinitions

Y no hace falta configurar más nada. Cuando editemos la GPO automáticamente tomará la información desde el “Central Store”

Y por supuesto, esta carpeta se replicará como cualquier contenido de SYSVOL, aún a los Controladores de Dominio que no la usen, pero que tiene un motivo para que sea así, por ejemplo ese W2003 podría estar replicando hacia un W2008 o más nuevo

Algo más de información. Todo lo anterior es válido si no han modificado o agregado ADMs propios. Si lo hubieran hecho entonces hay que hacer un paso más: transformar los ADMs antiguos al nuevo formato ADMX. Esto se puede hacer ya que hay una utilidad que tiene justamente ese objetivo “ADMX Migrator

Resumiendo:

  • Se acabaron las “pesadillas” de Windows 2000/2003 con las plantillas administrativas
  • Se optimizó el sistema para evitar la redundancia de información a replicar
  • Se evitaron los conflictos de versiones de plantillas administrativas

 

Post a comment or leave a trackback: Trackback URL.

Este espacio es para comentarios sobre la nota. No es un sitio de soporte

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: