Cuando disponemos de una versión de controlador de dominio (DC) inferior a la versión de Windows cliente, es buena idea actualizar las plantillas administrativas.
Si actualizamos las plantillas administrativas, conseguiremos disponer de todas las GPO (directivas de grupo) para poder realizar todo tipo de configuraciones vía GPOs en el lado cliente.
Con la aparición de Windows 10 y su modelo de versiones, el proceso de actualización de las plantillas administrativas se deberá realizar mas a menudo.
Windows: Actualizar plantillas administrativas: Ficheros ADM
Con Windows Server 2003, el formato de las plantillas administrativas, son ficheros de extensión ADM, donde en el mismo fichero, se incluye la descripción y la clave en el registro.
La ubicación predeterminada es: C:\Windows\inf de los controladores de dominio (DC).
Vista listado de ficheros ADM, en Windows Server 2003:
Todo y que es posible cargar este tipo de ficheros ADM en versiones superiores de Windows Server, a partir de Windows Server 2008, se establece un nuevo formato de plantilla y una nueva ubicación.
Windows: Actualizar plantillas administrativas: Ficheros ADMX/ADML
A partir de Windows Server 2008, el formato de los ficheros referentes a las plantillas administrativas cambia y se divide la parte referente a claves en el registro: ficheros ADMX y la parte referente a la descripción, que será distinto según el idioma.
Estos ficheros, de forma predeterminada, se ubican en C:\Windows\PolicyDefinitions del controlador o controladores de dominio (DC).
Ejemplo de vista de C:\Windows\PolicyDefinitions de un controlador de dominio:
En cada carpeta, encontraremos los ficheros ADML referentes a la ayuda y descripción de las GPOs, según el idioma.
En la raíz de C:\Windows\PolicyDefinitions, encontraremos los ficheros ADMX, referentes a las claves en el registro.
Importante: Las carpetas que contienen ficheros ADML según el idioma, podemos dejar solo el idioma del sistema operativo en cuestión y el inglés por si acaso.
A menos que no cambiemos el idioma del sistema operativo (Windows Server), no se utilizarán las carpetas de idiomas distintas al idioma actual.
En la vista del ejemplo anterior, sobran las carpetas referentes a idiomas como el alemán, ruso, etc...
Windows: Actualizar plantillas administrativas: Modelo local, sin GPO Central Store
Funcionamiento:
Las GPOs que creamos con la GPMC (Group Policy Management Console), se crean de forma predeterminada en el SYSVOL del controlador de dominio (DC) que tiene el rol de PDCe (Emulador de PDC).
Estas GPOs que creamos, al residir en el SYSVOL, por defecto, son replicadas en todos los controladores de dominio (DC).
Sin embargo, en el proceso de creación o modificación de una GPO (no de su aplicación), las claves en el registro y la ayuda, se lee la carpeta donde se ubican las plantillas administrativas: C:\Windows\PolicyDefinitions y esta carpeta es local para cada DC.
Esto significa que cuando editamos o modificamos una GPO desde un DC, las plantillas administrativas se leen de forma local y si actualizamos las plantillas administrativas, deberemos hacerlo a cada DC.
Resumen: En este modelo, deberemos actualizar las plantillas administrativas de cada DC de forma individual.
Además, existe otra consideración importante, los permisos NTFS que por defecto encontraremos en los ficheros ubicados en el directorio: C:\Windows\PolicyDefinitions, son los siguientes:
Podemos ver como el grupo de seguridad "Administradores", dispone de: "Lectura/Ejecución", pero no de: "Escritura", además el propietario de los ficheros, no es el grupo administradores, es: "Trusted Installer"
Esta configuración predeterminada, nos complicará la actualización de las plantillas administrativas, ya que en el caso que tengamos que substituir ficheros, por defecto, no tendremos los permisos mínimos necesarios.
Una alternativa, es darnos los permisos necesarios y cambiar el propietario, podemos utilizar las herramientas de cambio de permisos descritas en este post:
Podemos ver si tenemos configurado este modelo, al editar o crear una GPO:
Si aparece: "recuperadas del equipo local", significa que las plantillas se han leído desde: C:\Windows\PolicyDefinitions
Windows: Actualizar plantillas administrativas: Modelo con GPO Central Store
En un proceso de actualización de plantillas administrativas:
Para evitar el problema de la lectura de las plantillas administrativas de cada DC de forma local y el problema que hemos comentado antes referente a los permisos NTFS predeterminados, podemos utilizar la funcionalidad introducida en Windows Server 2008: GPO Central Store.
Con GPO Central Store, se leen las plantillas administrativas del SYSVOL, de esta forma son replicadas en todos los DCs y además, cuando las actualicemos, no tendremos problemas de permisos.
Para ver si tenemos configurado el GPO Central Store, bastará con editar o crear una GPO y fijarnos si aparece: "recuperadas del almacén central".
Eso significará que las plantillas administrativas han sido leídas desde el SYSVOL:
Para habilitar el GPO Central Store, bastará con copiar la carpeta PolicyDefinitions de C:\Windows a la carpeta de SYSVOL donde residen las Policies.
Ubicación de la carpeta de Policies en SYSVOL:
C:\Windows\SYSVOL\sysvol\dominio-de-AD\Policies
y dentro situamos la carpeta: PolicyDefinitions:
Ubicación de la carpeta de Policies en SYSVOL:
C:\Windows\SYSVOL\sysvol\dominio-de-AD\Policies
y dentro situamos la carpeta: PolicyDefinitions:
Windows: Actualizar plantillas administrativas: Proceso de actualización
El proceso de actualización de las plantillas administrativas es muy sencillo una vez tenemos claro los conceptos explicados en los puntos anteriores.
- Que es un fichero ADMX y ADML.
- Donde se ubican las plantillas administrativas: Ruta local en cada DC o GPO Central Store, en el SYSVOL.
- Permisos NTFS y propietario en el caso de utilizar ruta local. (C:\Windows\PolicyDefinitions).
Aunque solo dispongamos de un controlador de domino (DC), para no tener problemas de permisos, podemos utilizar el modelo de GPO Central Store.
Veamos un ejemplo de actualización de plantillas administrativas para Windows 10.
En primer lugar, descargamos las nuevas plantillas administrativas.
En este caso, sería:
Administrative Templates (.admx) for Windows 10 Fall Creators Update (1709)
Una vez descargadas, en este caso, el fichero descargado es un fichero MSI.
Este fichero MSI, una vez procedemos a su instalación, el asistente, nos preguntará por la ruta de instalación, en este caso, la ruta propuesta es la siguiente:
C:\Program Files (x86)\Microsoft Group Policy\Windows 10 Fall Creators Update (1709)\
Una vez finalizada la instalación, procedemos a explorar el directorio.
En su interior, veremos:
A continuación, procederemos a borrar todas las carpetas de idioma que sobran, dejado solo la carpeta de idioma del sistema operativo, por ejemplo: es-es en caso del idioma español y en-us en caso del inglés.
Después, copiamos el contenido: Ficheros ADMX y carpetas con ADML (en-us y es-es) a:
En caso de disponer de GPO Central Store:
C:\Windows\SYSVOL\sysvol\dominio-de-AD\Policies\PolicyDefinitions
En el caso de no disponer de GPO Central Store:
C:\Windows\PolicyDefinitions
* Es mejor utilizar GPO Central Store, ya que así no tendremos problemas de permisos NTFS ni propietario.
* Antes de realizar la copia de los nuevos ficheros, es buena idea hacer una copia de seguridad del directorio destino ya que muchos ficheros serán sobreescritos.
Administrative Templates (.admx) for Windows 10 Fall Creators Update (1709)
Una vez descargadas, en este caso, el fichero descargado es un fichero MSI.
Este fichero MSI, una vez procedemos a su instalación, el asistente, nos preguntará por la ruta de instalación, en este caso, la ruta propuesta es la siguiente:
C:\Program Files (x86)\Microsoft Group Policy\Windows 10 Fall Creators Update (1709)\
Una vez finalizada la instalación, procedemos a explorar el directorio.
En su interior, veremos:
A continuación, procederemos a borrar todas las carpetas de idioma que sobran, dejado solo la carpeta de idioma del sistema operativo, por ejemplo: es-es en caso del idioma español y en-us en caso del inglés.
Después, copiamos el contenido: Ficheros ADMX y carpetas con ADML (en-us y es-es) a:
En caso de disponer de GPO Central Store:
C:\Windows\SYSVOL\sysvol\dominio-de-AD\Policies\PolicyDefinitions
En el caso de no disponer de GPO Central Store:
C:\Windows\PolicyDefinitions
* Es mejor utilizar GPO Central Store, ya que así no tendremos problemas de permisos NTFS ni propietario.
* Antes de realizar la copia de los nuevos ficheros, es buena idea hacer una copia de seguridad del directorio destino ya que muchos ficheros serán sobreescritos.
No hay comentarios:
Publicar un comentario