Directivas de Grupo (“GPOs”) – Optimizar y Evitar Futuros Problemas

Entiendo que todos, o casi, los que estamos con el tema Active Directory conocemos cómo funcionan las Directivas de Grupo (“Group Policies” , “GPOs”), y sabemos que cada vez que ha salido un “Service Pack” o una versión nueva de un sistema operativo cambian las Plantillas Administrativas (“Administrative Templates”) con nuevas opciones de configuración

Hasta hace un tiempo era fácil mantener las versiones actualizadas de estas Plantillas Administrativas, ya sea porque los cambios no eran muy frecuentes, o porque la versión del sistema operativo de los clientes coincidia con la de los correspondientes servidores Controladores de Dominio

Pero esto ya no es así, hace varios meses que muchos están conviviendo con clientes Windows 10, pero sin embargo los Controladores de Dominio corresponden a versiones anteriores, en el mejor de los casos Windows Server 2012 R2

A lo anterior debemos sumarle que Windows 10 promete actualizaciones más seguidas en el tiempo aunque conserve su nombre. Un ejemplo típico es Windows 10 v1511

Y por último, dentro de unos meses estará disponible la versión definitiva de Windows Server 2016, que no descarto que tenga actualizaciones de la misma forma que Windows 10

Por lo tanto, es importante que veamos cómo podemos y podremos mantener actualizadas las Plantillas Administrativas de la forma más eficiente y con menos esfuerzo

Cuando editamos una GPO, todas las configuraciones que aparecen dentro de Plantillas Administrativas dependen del contenido de las Plantillas Administrativas instaladas en … ¿En dónde? ¿En la máquina donde la edito? ¿En el Controlador de Dominio con el rol Emulador PDC? ¿En el cliente?

Y como si fuera poco, dependiendo de dónde edite una GPO se actualizarán o no en los Controladores de Dominio

Aunque aconsejo dejar para luego de leer luego de esta nota, si quieren conocer el tema del manejo que hace cada versión de Windows de las Plantillas Administrativas pueden ver la siguiente nota:

How to create and manage the Central Store for Group Policy Administrative Templates in Windows
https://support.microsoft.com/en-us/kb/3087759

Resumiendo: algo tenemos que hacer no sólo para poder comprender cómo es realmente el tema, sino que si además vendrán cambios frecuentes, no tener una mezcla de diferentes versiones, y que siempre se utilice la última

Lo primero que debemos hacer es tratar de centralizar las Plantillas Administrativas, lo que implica que tengamos todas en un repositorio centralizado, y esto es fácil de conseguir

Así que comenzaré centralizando la ubicación de todas las plantillas administrativas, para luego continuar mostrando cómo podemos actualizar estas plantillas que tenemos en un Controlador de Dominio Windows Server 2012 R2 con las correspondientes a Windows 10, y poder aprovechar las nuevas configuraciones

Por omisión, cuando editamos una GPO, las plantillas administrativas se cargan localmente desde la carpeta C:\Windows\PolicyDefinitions

Esto lo podemos ver fácilmente cuando editamos una GPO

Para que en lugar de usar la carpeta local en cada Controlador de Dominio, utilice una centralizada que esté replicada en todos los Controladores de Dominio del Dominio debemos copiar la carpeta C:\Windows\Policy Definitions en un Controlador de Dominio que nombramos antes a: C:\Windows\SYSVOL\Sysvol\<NombreDominio>\Policies

Normalmente la carpeta “Policy Definitions” contiene otras carpetas que corresponden al idioma del texto en que se mostrarán las configuraciones; si hubiera más de una también deben quedar copiadas en la nueva ubicación

Ya hecha la copia veremos que ahora las definiciones las toma desde el “Central Store”

Muy sencillo ha resultado esta primera parte :)

Recordemos que el contenido de Sysvol se replica automáticamente en todos los Controladores de Dominio del Dominio

 

Pero veamos ahora, cómo podemos tener en los Controladores de Dominio con Windows Server 2012 R2 las Plantillas Administrativas de Windows 10

Lo primero es descargarlas desde:

Download Administrative Templates (.admx) for Windows 10 from Official Microsoft Download Center
https://www.microsoft.com/en-us/download/details.aspx?id=48257

Pero en cuando elijamos descargar ya vemos lo que confirma mi comentario al principio de la nota: una versión para Windows 10 RTM, y otra para la v1511. Siempre conviene descargar la última versión ya que hay compatibilidad con versiones anteriores

El paso siguiente es instalarlas simplemente desde el archivo MSI descargado

Debemos seleccionar el “Central Store” y permitir a todos

Si observamos el resultado en el Explorador de Windows, veremos que ha agregado nuevas carpetas. Cada una de estas corresponde al idioma a mostrar en las configuraciones

Podemos tranquilamente eliminar todas las que no necesitemos

Cuando vamos a editar una GPO e ingresamos a “Administrative Templates” veremos que aparece un error

No preocuparse, tal como informa Microsoft podemos ignorarlo ya que no produce ningún inconveniente, o corregirlo tal como indica el siguiente artículo

«‘Microsoft.Policies.Sensors.WindowsLocationProvider’ is already defined» error when you edit a policy in Windows
https://support.microsoft.com/en-us/kb/3077013

 

Para verificar que tenemos disponibles las configuraciones para Windows 10 simplemente podemos hacer un filtrado de las configuraciones por esta versión del sistema operativo

 

La forma y los cambios que ha hecho Microsoft en las versiones anteriores de los sistemas Windows, donde dependiendo de la versión y de la forma de editar las GPOs, determina de dónde saca las Plantillas Administrativas, y si actualiza o no las versiones en el correspondiente Controlador de Dominio ha sido históricamente complejo

Si a lo anterior le sumamos que ahora las actualizaciones serán más frecuentes, debemos estar preparados para que no se conviertan en un problema :)