Windows 10 es una versión del sistema operativo cliente que ya hace meses que está disponible en su versión final, inclusive las opciones para empresa, pero sin embargo el equivalente sistema operativo servidor aún no lo está, y aparentemente va a demorar un tiempo más en estar disponible la versión definitiva
Además, en general, la mayoría de los administradores de redes se animan con “nuevas experiencias” en máquinas cliente, pero con los servidores son mucho más cautos :)
Por lo tanto he decidido hacer esta nota para mostrar cómo desde nuestro Dominio con Windows Server 2012 R2, podemos probar y/o aplicar nuevas configuraciones a clientes con Windows 10 Professional o Enterprise
Lo primero que debemos hacer, por supuesto es descargar los archivos correspondientes a las plantillas administrativas de Windows 10, lo cual podemos hacer desde: “Administrative Templates (.admx) for Windows 10” seleccionando el idioma apropiado
Aprovecho para agregar un enlace a una descarga poco conocida y que muchos desconocen su existencia “Group Policy Settings Reference for Windows and Windows Server”. Se trata de planillas Excel donde están documentadas todas las configuraciones de las Plantillas Administrativas, y de la parte Seguridad para las diferentes versiones de sistemas operativos. Es muy útil porque permite hacer búsquedas con palabras clave, que no es permitido en el editor de GPOs, pero nos permite fácilmente ubicar el “path” de la configuración que debemos hacer
También, incluiré en esta nota cómo centralizar el almacenamiento de las Plantillas Administrativas (“Administrative Templates”), con lo cual independentemente de las versiones de sistema operativo, parches o “Service Packs” que pudieran salir, siempre utilizaremos la última versión de las mismas
El procedimiento para llegar a este almacenamiento centralizado de las Plantillas administrativas es muy sencillo. Por omisión el sistema las toma desde “C:\Windows\PolicyDefinitions” del Controlador de Dominio donde estemos editando la GPO
Pero si las copiamos a una nueva carpeta “C:\Windows\SYSVOL\Policies\<NombreDominio>\SYSVOL\<NombreDominio>\Policies\PolicyDefinitions” el editor de GPOs las tomará automáticamente
Esta es la ubicación original
Creamos la nueva carpeta
Y copiamos el contenido de la carpeta anteriormente nombrada
Automáticamente tomará los correspondientes archivos desde el almacenamiento centralizado, que por estar contenido en SYSVOL será automáticamente replicado a todos los Controladores de Dominio del Dominio
Ahora sí, vamos a instalar las nuevas plantillas administrativas (ADMX/ADML), una vez descargado el archivo “Windows10-ADMX.msi” solo debemos proceder a su instalación
No muestro las capturas de pantalla, pues es sólo “Siguiente … siguiente” y aceptar la licencia
Si descargaron la planilla “Group Policy Settings Reference …” podrán fácilmente filtrar para ver las nuevas configuraciones, que por ahora son pocas
También he tratado de hacer el filtrado en el editor de GPOs, pero por ahora no es posible, seguramente habrá una actualización
Con esto ya podemos comenzar a configurar mediante GPOs con las nuevas opciones a clientes con Windows 10
[Actualización] Si cuando va a editar una GPO se presenta un error, consulte el siguiente artículo:
«‘Microsoft.Policies.Sensors.WindowsLocationProvider’ is already defined» error when you edit a policy in Windows
https://support.microsoft.com/en-us/kb/3077013
WindowServer 
Comentarios
Hola Guillermo:
Junto con agradecer tu enorme aporte a la comunidad TI, quisiera consultarte lo siguiente:
En nuestra organización tenemos una unidad de soporte, la cual al inscribir las maquinas al dominio siempre ha dejado a los usuarios como administradores de sus equipos. Hace muy poco llegó una nueva jefatura y nos solicita que esta configuración sea modificada, debido a que según su experiencia los usuarios deben tener el mínimo de privilegios sobre sus maquinas, para evitar que se instalen programas indebidos, modifiquen configuraciones, etc. La consulta es: Existe alguna manera de realizar esta modificación de forma masiva, dejando a los usuarios del dominio como invitados en sus maquinas?
Agradecido
Andrés
Hola Andrés ¡gracias por tu comentario!
Pero creo que el tema es lo contrario de lo que planteas :)
Para unir una máquina a un Dominio, el usuario primero debe ser administrador local, por lo tanto, la unión al Dominio no cambia nada, el usuario local sigue siendo administrador local aunque la máquina esté unida al Dominio
Tienes dos opciones para solucionar el problema:
1.- Usar la opción de grupos restringidos, para agregar un grupo de Dominio como administrador local de las máquinas, y eliminar el usuario local
Windows Server: Utilización de Grupos Restringindos (“Restricted Groups”)–Parte 1 de 2 | WindowServer:
Windows Server: Utilización de Grupos Restringindos (“Restricted Groups”)–Parte 2 de 2 | WindowServer:
2.- Cambiar en forma automática la contraseña del usuario administrador local para que no la pueda usar el usuario
Administración Centralizada de los Administradores Locales – Parte 1 de 2 | WindowServer:
Administración Centralizada de los Administradores Locales – Parte 2 de 2 | WindowServer:
No los dejes como invitados, ya que casi no podrán trabajar, déjalos con el valor por omisión, que pertenecen al grupo Usuarios
Muchas gracias Guillermo.. Saludos
Andres
Saludos Andrés :)
Hola Guillermo
estoy haciendo lo de las directivas para windows 10 pero algo debo hacer mal
he hecho lo de sysvol y genial, pero ahora como hago para que salgan las directivas de windows 10? por que el instalador instala los ficheros en C:\Program Files (x86)\Microsoft Group Policy\Windows 10 Version 1511 y en el editor no sale, y si copio los ficheros en la otra ruta dan errores, algo debo estar haciendo mal pero no se el que.
He empezado a migrar equipos a windows 10 en este dominio (windows 2012R2) he puesto uno de prueba y cada mañana tiene problemas con el dominio, el servicio estacion de trabajo no le arranca y se queda sin unidades de red, si arranco el servicio manualmente todo ok, habia un error de conexion con el dominio y lo volvi a unir y parecia ir bien, pero desde ese dia ha fallado 3-4 veces y creo que es algo de las directivas por eso ando loco con este tema
saludos
Hola Javi, no termino de comprender totalmente la pregunta
Haz primero centralizado las plantillas en Sysvol? porque ahi es donde tienen que estar
No comprendo el motivo por que copiarlas de algun error
Respecto al servicio que no arranca, no creo que tenga relacion con las GPOs
Hola guillermo
Primero he hecho lo que tu dices, instalar en sysvol las directivas, las abre perfectamente, despues instalo las adm de windows 10 version 1511 y copia las de ES-ES a la carpeta donde copie las directivas, al abrir el editor me sale error diciendo que no puede, el error que da es el siguiente:
No se pudo encontrar un archivo de recursos adecuado para el archivo \\ …. \ActiveXInstallService.admx (Error = 3) el sistema no puede hallar la ruta especificada
este error lo da muchas veces seguidas cambiando el fichero admx por lo que algo debo estar haciendo mal o me falta algun paso
el error del servicio estacion de trabajo no se a que es debido, hemos tenido que tirar atras a windows 7 ya que la usuaria se quejaba mucho de este fallo (es el unico, por lo demas windows 10 iba genial) no se si es debido a tener windows en dominio y faltar alguna directiva o alguna aplicacion que diera problemas, queria descartar que alguna GPO que diera problemas
saludos
Me da para pensar que está buscando un ADML que no encuentra
¿Se ha instalado algún paquete de idioma?
Pero de todas formas y por las dudas, copia toda la subcarpeta con los ADML, que creo que el problema viene por ahí, y luego eventualmente si se solucionara ir eliminando de a poco se puede llegar a la conclusión
Hola Gille, tengo 2 consultas:
1) al momento de copiar los archivos admx en “C:\Windows\SYSVOL\Policies\\SYSVOL\\Policies\PolicyDefinitions” van sueltos o debo crear una subcarpeta?
lo pregunto porque para windows 10 existe la original y para la rev.1511 y ahora creo que ya hay una nueva para la version aniversario y no se si se deben sobreescribir o si van en subcarpetas…
2) Al crear esta ruta en sysvol ya no cuenta mas las plantillas que existan en «C:\Windows\PolicyDefinitions” del Controlador de Dominio?? o interacutan??
Muchas gracias por tu dedicacion.
Saludos
Cristian Fontenla
Hola Cristian,
1) Tal como como está en la nota :) todo a la misma carpeta, salvo los ADML que van en la carpeta del idioma. El tema de las actualizaciones de Windows va a dar dolores de cabeza …
Directivas de Grupo (“GPOs”) – Optimizar y Evitar Futuros Problemas | WindowServer:
2) Usa siempre y solamente las Policy Definitions que están dentro de Sysvol
Hola Guillermo.
Te hago una consulta, en mi dominio tengo equipos clientes W7 y ahora muchas máquinas han sido migradadas a W10, con las nuevas plantillas (admx y adml) reemplazo a las actuales y podré administrar tanto los equipos W7 y W10??
Muchas gracias, saludos.
Hola Jorge, sí, las plantillas de W10 sirven para administrar también para las de W7 y anteriores
Ok Guillermo, anduvo perfecto.
Gracias!
Hola guillermo, al instalar archivo windows 10-ADMx, se copia todos los archivos en»c:\Program Files (x86)\microsoft groupplicy\windows 10\ policydefinitions» .
Pregunta. todo lo instalado lo copio a la nueva carpeta creada en sysvol?
Si, así es
Hola , primero que todo te felicito excelente pagina , me has ayudado un monton en mis pruebas, ahora tengo un duda , actualmente tengo 3 DC dos de ellos en Windows 2008 R2 y uno en Windows 2012 , me baje las plantillas administrativas del Chrome y las cree en el dc1 w2008r2 pero al tratar de modificarlas en el dc3 w2012 me da error , como puedo solucionar eso ya que puse las politicas en los 3 servidores manualmente
Me alegro haber podido ayudar :)
Pienso que lo que te conviene, y no sólo por este caso, es centralizar la ubicación de las plantillas administrativas, sobre todo pensando en que actualmente, hay actualizaciones que las modifican
En la siguiente nota está cómo hacerlo y además algunos motivos por lo que conviene hacerlo así
Directivas de Grupo (“GPOs”) – Optimizar y Evitar Futuros Problemas | WindowServer:
Otra cosa a tener en cuenta: cuando se edita una GPO, y por omisión, la consola trata de enfocarse en la máquina que tiene el FSMO «PDC Emulator»
Hola Guillermo una pregunta, tu dices que se debe copiar todo lo de la ruta original (C:\Windows\PolicyDefinitions) a la nueva ruta (
\SYSVOL\\Policies\PolicyDefinitions), pero al instalar el paquete el crea unos archivos en c:\Program Files (x86)\microsoft groupplicy\windows 10\ policydefinitions, estos se mezclan con los otros? o en la nueva carpeta solo van los archivos que estan en c:\Program Files (x86)\microsoft groupplicy\windows 10\ policydefinitions..
Gracias!!
Hola Andres, hay que copiar a mano y reemplazar
Hola guillermo copiamos a mano al folder centralizado y luego borramos el C:\Windows\PolicyDefinitions?? o lo dejamos como esta??
Hola Ivan, yo siempre dejo la carpeta original, por las dudas ;)
Guillermo, muchas gracias por tu valiosa ayuda.
Mi consultas son:
1. Si tengo GPO’s ya creadas y aplicadas a O.U. despues creo las carpetas segun la ruta indicada para centralizar, siguiendo tus indicaciones cuando estas se aplican a los clientes (Con Windows 7 y Windows 10) cuales estaran aplicandose predeterminadamente. Las Recien centralizadas o las antiguas?
2. Despues de crear el almacen de Centralizacion de Plantillas, es suficiente con manipular solo las que esten en la Centralizacion o en algunos casos es necesario tocar las otras 2 : Politicas y Preferencias.
Hola D. Molina, no he hecho demasiada experiencia con lo que propones, pero comento cómo entiendo debería funcionar
1. El hecho de centralizar las plantillas de GPO es para que no sucede que cada GPO tenga una copia, o de acuerdo al Controlador de Dominio al que se conecta la MMC pueda tomar versiones diferentes de las plantillas. Las plantillas las toma cada GPO, nueva o existente según entiendo, o sea, no hay que hacer nuevas GPOs debería funcionar aún editando las existentes
2. Todas las GPOs son objetos independientes, las plantillas son usadas sólo para mostrar qué configuraciones se pueden hacer en cada GPO
Algo más, cada versión de W10 actualizanda (1511, …, 1703 supongo que aumenta la cantidad de configuraciones que se puede hacer, por lo que he leído
Hola Guillermo,
Consulta, cuando instalo las plantillas, es posible que se afecten GPOs que ya están aplicadas?
Cordialmente,
Hola Diego, a mi entender no tendría que producirse ningún problema
Buenos dias guille, me han sido muy fructiferos tus articulos y repitiendo y repitiendo he ido aprendiendo mucho pero a veces siento que no llego, ahora debo migrar un server de correo hacia otro server de mejores prestaciones fisicas y estoy hecho un lio, me sugieres algo porfa.
Hola Daniel, salvo la interfaz no se parece en nada un «Windows de escritorio» a un «Windows servidor», este último está destinado a proveer servicios a la red, y requiere conocimientos sobre todo teóricos para su correcta configuración; en este blog no vas a encontrar los conocimientos teóricos para administrar los servicios de un servidor
Además, y muy importante, estos son comentarios sobre la nota, no son un sitio de soporte, ni puedo usarlos para eso
gracias por el aporteeeeeeee, arreale
Hola Guillermo, espero te encuentres bien, tengo un tema con una GPO para la aplicación de fondo de pantalla en mis equipos de dominio con Win10Pro, les aparece el fondo en negro, esto es debido a que no se han actualizado las plantillas en el Server?
Hola Claudio, todo bien por acá :)
No estoy con el tema de W10, pero he leído en el foro de Microsoft (Technet) varios que tenían ese problema. Este es consecuencia de la forma en que «cachea» la información. Había que borrar (acá está el problema no recuerdo) una carpeta del perfil del usuario para que se actualize
Haz una búsqueda en https://social.technet.microsoft.com/Forums/es-ES/home hay un post, entre muchos, que tiene la solución y está qué carpeta hay que borrar