Hace tiempo que venimos hablando de políticas de grupo (Group Policies) y de como nos ayudan a administrar nuestra arquitectura de Directory Services. Microsoft puso a disposición Administrative Templates (.admx) for Windows 8 and Windows Server 2012 con ellas podremos administrar totalmente nuestros servidores Windows Server 2012 y nuestros clientes de Windows 8. También están disponibles el template de configuración de Internet Explorer 10: Administrative Templates for Windows Internet Explorer 10.
Hoy veremos como agregar estos templates en nuestro Active Directory. Las plantillas administrativas son archivos de texto Unicode con formato con la extensión. ADM y se utilizan para crear la parte de Plantillas administrativas de la interfaz de usuario para el editor de GPO. Aunque Plantillas administrativas tienen prácticamente cientos de opciones dentro de ellos, puede haber momentos en que un administrador tendrá que añadir más opciones a un nuevo o existente GPO. Por ejemplo, cuando sale Internet Explorer 10, o tenes equipos con Windows 8 en un ambiente Windows Server 2008 R2, que seria nuestro caso.
Un método para agregar estas extensiones a la GPO es mediante los templates, agregando los archivos .ADM
En nuestro caso la bajamos el instalador que mencionamos al principio de la nota. El proceso de instalacion es simple:
Microsoft introdujo el formato de archivo ADMX en Windows Vista y Windows Server 2008. Este formato de archivo basado en XML reemplaza el formato de archivo ADM basada en token utilizado por versiones anteriores de Windows para definir las plantillas administrativas. Las políticas de grupo utilizan los templates para representar la configuración de la directiva basada en el registro que aparecen al editar la directiva de grupo.
El contenido incluido en las plantillas administrativas se describe la interfaz de usuario utilizada por los editores de directiva de grupo y las ubicaciones de registro donde se almacena la configuración de directiva de Windows. Windows Server 2008 R2 y Windows 7 ofrecen un nuevo conjunto de archivos de plantillas administrativas en el formato ADMX. Los editores de directiva de grupo y la GPMC de Windows Vista no pueden leer los archivos ADMX que contengan esta nueva sintaxis.
Las versiones anteriores de directiva de grupo que utiliza los archivos ADM sufrieron un síntoma conocido como SYSVOL bloat (crecimiento desmedido). Estas versiones de Windows copian el conjunto de los archivos ADM en cada objeto de directiva de grupo almacenados en el SYSVOL. Cada conjunto de archivos ADM requiere aproximadamente 4 MB de espacio en disco. Un dominio puede tener 100 objetos de directiva de grupo. Un centenar de objetos de directiva de grupo multiplicado por 4 megabytes de espacio en disco equivale a 400 MB de datos redundantes, lo que es un desperdicio. Windows Server 2008 y Windows Vista introdujo el concepto de la directiva de grupo almacén central para superar el SYSVOL bloat.
El lugar de almacenamiento de las políticas de grupo (Central Store) es simplementa una sola carpeta en cada controlador de dominio, la SYSVOL que almacena un conjunto de archivos ADMX para todo el dominio.
Este almacenamiento central alivia eficazmente los síntomas del SYSVOL bloat; y reduce la cantidad de datos transferidos durante la replicación de dicha carpeta SYSVOL cuando se crean nuevos objetos de directiva de grupo. Parte de la documentación se refiere al lugar de almacenamiento de las políticas de grupo (Group Policy Central Store) como una ubicación alternativa para almacenar archivos ADMX (el otro lugar de almacenamiento local se encuentra en %SystemRoot%\PolicyDefinitions).
La Group Policy Management Console y el Group Policy Management Editor siempre utilizan el almacén central de directiva de grupo, cuando está presente. El pro es que todas las instancias de la GPMC y GPME utilizan el mismo conjunto de archivos ADMX. La desventaja es que los archivos ADMX son de mantenimiento difícil. Además, GPMC no puede utilizar el almacén local, cuando existe un almacén central.
Así que agregar un único conjunto ADMX para un solo equipo no es posible cuando se utiliza un almacén central. Por eso cuando sale una nueva version de windows ya sea cliente o servidor, hay un nuevo conjunto de archivos ADMX. Estos nuevos archivos ADMX exponen nuevas opciones de directivas para Windows 2008 R2 y para Windows 7, así como los ajustes de las política para los sistemas operativos anteriores. Esta es la razon por la que podemos necesitar actualizarlos.
Si tenemos un almacén central (presumiblemente con archivos ADMX de Windows Server 2008), entonces tenemos dos opciones: actualizar los archivos ADMX o quitar el almacén central. Debemos tener en cuenta que al actualizar el almacén central se afectará a todos los usuarios en el dominio que utilizan GPMC y su editor. Es importante entender esto porque los nuevos archivos ADMX pueden no ser compatibles con versiones anteriores de las herramientas de la directiva de grupo, como en el caso de Windows Server 2008 R2.
Este es el error cuando un equipo con Windows Vista y Windows Server 2008 intentan leer una directiva del almacén central con los archivos de Windows Server 2008 R2 ADMX.
Una solución podría ser, remover el almacén central (Group Policy Central Store) y hacer que utilice un almacenamiento local para los archivos ADMX. Esto permite a los Windows 7 RSAT y a los equipos con Windows Server 2008 R2 usar los archivos ADMX. Hay que tener en cuenta que si poseemos equipos con RSAT sobre Windows Vista no podrán gestionar o informar sobre la configuración de directivas de Windows 7.
Espero que les sea de interés. Saludos, Roberto Di Lello.
Hola Roberto antes que nada felicitarlo por su excelente blog, me parece uno de los mejores de habla hispana, mi nombre es Javier vivo en Cuba y Trabajo como administrador de sistemas, su informacion publicada me a servido de mucho para mi trabajo. Quisiera saber si existe la posibilidad de copiar todos los articulos de su blog? Quisiera tenerlos guardado en mi PC, que me recomienda utilizar alguna herramienta como Teleport? Le agradecia la respuesta que me pueda dar…Saludos desde Cuba…
Javier Luis, muchas gracias por comentar y participar. Disculpa mi demora en contestar pero estoy poniendome al dia con todos los mails y consultas via Web que tengo pendientes. He podido recuperar algunos mails que habia perdido con el cambio de proveedor, perdon por el error; calculo que ya no me deberia volver a ocurrir. Mil disculpas!
Respecto a tu pregunta, si no hay problema. Baja todo el contenido que te venga bien. Lo que si, si puedes estaria bueno recibir alguna donacion como para afrontar los gastos del hosting y mantenimiento del blog. Mas ahora que he cambiado, puede ser por paypal.
Aprovecho la oportunidad para agradecerte por participar del blog y ayudar a que siga creciendo! Te pido que difundas la direccion del mismo asi podeos llegar a mas gente. Te cuento que hay mucho material en el. Te invito a que veas los labs, videos, tutoriales, notas. Si querés buscar un tema o necesitas ayuda, tenés la solapa AYUDA donde explico un poco como hacerlo, sino también tenés el buscador de google.
Saludos y gracias!
ROBERTO BUENAS TARDES, TE ESCRIBO DESDE COLOMBIA, NECESITO SABER QUE OPCION ES LA MAS RECOMENDABLE PARA INSTALAR VARIOS SISTEMAS OPERATIVOS O APLICACIONES SIMULTANEAMENTE PARA VARIOS EQUIPOS EN RED, ES DECIR, SI UN CLIENTE NOS COMPRA 100 PORTATILES, ES MUCHO TIEMPO INSTALAR UNO X UNO EL OFFICE, ANTIVIRUS, ETC…
GRACIAS POR TU AYUDA…SALUDOS DESDE COLOMBIA
John Mario, muchas gracias por comentar y participar. Disculpa mi demora en contestar pero estoy poniendome al dia con todos los mails y consultas via Web que tengo pendientes. He podido recuperar algunos mails que habia perdido con el cambio de proveedor, perdon por el error; calculo que ya no me deberia volver a ocurrir. Mil disculpas!
Respecto a tu pregunta, hay varias opciones. Por lo que me comentas lo mejor es armar toda una imagen con todo lo que necesitas implementar y que este configurada con sysprep, asi no tenes sids duplicados ni ningun inconveniente. Despues si es dentro de un entorno corporativo podrias utilizar Windows Deployment Services (WDS) de Windows.
Aprovecho la oportunidad para agradecerte por participar del blog y ayudar a que siga creciendo! Te pido que difundas la direccion del mismo asi podeos llegar a mas gente. Te cuento que hay mucho material en el. Te invito a que veas los labs, videos, tutoriales, notas. Si querés buscar un tema o necesitas ayuda, tenés la solapa AYUDA donde explico un poco como hacerlo, sino también tenés el buscador de google.
Saludos y gracias!
Roberto buenas tardes como estas espero me recuerdes. Antes que nada gracias por tu tiempo.
La pregunta es sencilla.
Tengo una GPO para software depoy con un DC 2003 y en W7 aplica perfecto pero no me aplica en los XP, tenes idea que puede ser, lo que estoy distribuyendo es el msi de Java.
Encontre varias notas en donde tengo que habilitar:
Always wait for the network at computer startup and logon pero a pesar de hacerlo no aplica el paquete.
Se te ocurre que puede ser? Muchas gracias.
Saludos. Juan
Hola Juan Manuel. Si que me acuerdo de vos. Disculpa mi demora en contestar pero estoy poniendome al dia con todos los mails y consultas via Web que tengo pendientes. He podido recuperar algunos mails que habia perdido con el cambio de proveedor, perdon por el error; calculo que ya no me deberia volver a ocurrir. Mil disculpas!
Respecto a tu pregunta, sigues con el problema. Tenes algun evento asociado? genera algun error? hiciste algun RSOP como para ver si aplica o no? Te paso un link que te puede ayudar: Introduction to Group Policy Troubleshooting http://technet.microsoft.com/en-us/library/cc776670(v=ws.10).aspx Si tenes mas info escribime asi lo vemos.
Aprovecho la oportunidad para agradecerte por participar del blog y ayudar a que siga creciendo! Te pido que difundas la direccion del mismo asi podeos llegar a mas gente. Te cuento que hay mucho material en el. Te invito a que veas los labs, videos, tutoriales, notas. Si querés buscar un tema o necesitas ayuda, tenés la solapa AYUDA donde explico un poco como hacerlo, sino también tenés el buscador de google.
Saludos y gracias! Te mando un abrazo grande. Robert.
Buenos días, Estimado,
Espero se encuentre bien, escribo para consultarle donde puedo conseguir politicas generales para usuarios externos que pueda aplicar en el active directory para la parte de seguridad.
En espera de su pronta y valiosa respuesta,
Se despide,
—
Atentamente. Joel Barbosa Jesus
Joel Barbosa Jesus, disculpa mi demora en contestar pero estoy poniendome al dia con todos los mails y consultas via Web que tengo pendientes. He podido recuperar algunos mails que habia perdido con el cambio de proveedor, perdon por el error; calculo que ya no me deberia volver a ocurrir. Mil disculpas!
Respecto a tu pregunta, sigues con el problema. Te paso un link que te puede ayudar: Group Policy Preferences Getting Started Guide http://technet.microsoft.com/en-us/library/cc731892(v=ws.10).aspx y Group Policy Settings Reference for Windows and Windows Server http://www.microsoft.com/en-us/download/details.aspx?id=25250
Aprovecho la oportunidad para agradecerte por participar del blog y ayudar a que siga creciendo! Te pido que difundas la direccion del mismo asi podeos llegar a mas gente. Te cuento que hay mucho material en el. Te invito a que veas los labs, videos, tutoriales, notas. Si querés buscar un tema o necesitas ayuda, tenés la solapa AYUDA donde explico un poco como hacerlo, sino también tenés el buscador de google.
Saludos y gracias!
Roberto, muchas gracias por tu respuesta.
El problema era que para que funcione el XP era necesario poner el FQDN sino no veia a la cuenta de equipo
Buenísimo, menos mal que te funciono!.
un abrazo, Robert.
Hola Roberto he sido un seguidor de tu blog desde hace un par de años y he resuelto muchas dudas, en este caso me gustaría saber si las GPO implementadas desde mi AD 2003 aplican completamente sobre Windows 8, esto debido a que en la empresa donde trabajo tenemos varias y una de ellas es la de agregar los links de acceso a paginas internas en los favoritos de Internet Explorer y otra es la de configurar el wallpaper, estas 2 políticas nos funcionaban perfectamente en Win7 pero en el nuevo Windows 8 no. Agradezco me colabores si hay alguna forma de solucionarlo o hay alguna documentación al respecto en el cual no aplican estas políticas.
Gracias!!!.
Yimy Sanchez, muchas gracias por comentar y participar. Disculpa mi demora en contestar pero estoy poniendome al dia con todos los mails y consultas via Web que tengo pendientes.
Respecto a tu pregunta, si en Windows 8 funcionan todas las politicas. Incluso tenes muchas mas que en las versiones anteriores de Windows. Lo que pasa es que en tu caso tienes distintas versiones de Windows y por ende distintas versiones de IE. Lo que podrias hacer es una politica para IE8, otra IE 9 y otra para IE10, y luego aplicarla.
Aprovecho la oportunidad para agradecerte por participar del blog y ayudar a que siga creciendo! Te pido que difundas la direccion del blog y my Twitter @RaDiansBlog asi podemos llegar a mas gente. Te cuento que hay mucho material en el. Te invito a que veas los labs, videos, tutoriales, notas. Si querés buscar un tema o necesitas ayuda, tenés la solapa AYUDA donde explico un poco como hacerlo, sino también tenés el buscador de google.
Saludos y gracias!
Hola Roberto,
Tenemos un entorno formado por un dominio Windows 2003 y máquinas cliente Windows XP y Windows 7, y servidores Windows 2003. Ya se han metido Windows 8 y 2012, con la consiguiente necesidad de aplicar las plantillas para estos SO.
Nosotros trabajamos con el almacen central, pero con las nuevas plantillas tenemos la duda si debemos copiar y pegar los ficheros admx de 2012/8 y reemplazar las ya existentes.
Gracias por tu blog.
Un saludo.
Jorge, muchas gracias por comentar y participar. Disculpa mi demora en contestar pero estoy poniendome al dia con todos los mails y consultas via Web que tengo pendientes.
Respecto a tu pregunta, me perdi. Tenes alguna modificacion puntual por el cual queres copiarlas? sino utiliza la default que viene. Cualquier cosa aclarame y lo vemos.
Aprovecho la oportunidad para agradecerte por participar del blog y ayudar a que siga creciendo! Te pido que difundas la direccion del mismo asi podeos llegar a mas gente. Te cuento que hay mucho material en el. Te invito a que veas los labs, videos, tutoriales, notas. Si querés buscar un tema o necesitas ayuda, tenés la solapa AYUDA donde explico un poco como hacerlo, sino también tenés el buscador de google.
Saludos y gracias!