Actualizar ADMX en un Controlador de Dominio Server 2008-2012 para aplicar directivas a Windows 8.1

En todo el tiempo que llevo escribiendo en este blog, notarán que no ha sido muy común de mi parte escribir sobre un tema que se salga de Windows Client, incluyendo solución de problemas, implementación o despliegue. Sin embargo, hay ocasiones o temas que guardan mucha relación con el sistema operativo cliente y que pueden ser importantes, como el hecho de poder configurar correctamente un Servidor Proxy para IE11 o como en este caso, actualizar de forma adecuada los ADMX para que el sistema operativo pueda recibir nuevas directivas desde un Servidor anterior a 2012 R2.

Una definición básica de una Directiva de Grupo, bajo mi casi ignorancia en el tema, sería decir que es una forma gráfica de crear o manipular el Registro de Windows para que el sistema operativo reciba alguna configuración obligatoria de forma centralizada. Por supuesto, no voy más allá porque detrás de eso hay todo un mundo –tanto que hay MVP solo para este tema-.

Ahora, es importante notar que el Editor de Políticas de grupo que ejecutamos local o desde un Controlador de Dominio, lee todas estas plantillas, conocidas normalmente como Plantillas Administrativas (ADMX) desde los archivos .admx situados de forma predeterminada en la ruta: C:WindowsPolicyDefinitions.

El contenido de este archivo, tiene un formato con información relevante mostrada por la plantilla, como el sistema soportado, nombre, descripción, etc. Cabe aclarar que no hay un archivo .admx por cada plantilla, más bien se pueden ver como un tipo de contenedores para varias plantillas de acuerdo a lo que podríamos llamar categoría.

Por ejemplo, la siguiente captura corresponde al contenido del archivo: FileHistory.admx, específicamente, la directiva para deshabilitar o habilitar Historial de Archivos:

image

*Nota: En el caso de File History, solo contiene una directiva posible, es por esto que muestro la etiqueta de <policies> y </policies>, pues normalmente ahí están encerradas todas las directivas dentro de <policy> y </policy>.

En resumidas cuentas, nosotros abrimos el Editor de Directivas de Grupo a través de la Consola de Administración, editamos nuestra GPO, ésta va y busca todas sus plantillas en la ruta C:WindowsPolicyDefinitions, las configura dentro del ambiente gráfico y después la respectiva funcionalidad de las GPO se encarga de replicar esto en todos los equipos y usuarios que se encuentren dentro de los grupos indicados.

*Nota: La forma como se replican las directivas tiene su propia ingeniería como lo mencioné más arriba, y debido a mi excases de conocimiento en su forma de trabajar, no puedo expandir más la explicación.

El proceso no suele representar mayores inconvenientes, hasta que sale una nueva versión o actualización –como el caso de 8.1- para el sistema operativo. Gracias a que las nuevas características requieren ser administrables en su totalidad, se crean más plantillas administrativas y por supuesto, al no estar incluidas originalmente en la versión del servidor, a menos que corresponda a la más actual, no hay cómo gestionar estas directivas por parte del área de IT.

El Central Store

Hay varios métodos que pueden o no ser soportados por Microsoft para poder actualizar las Plantillas Administrativas en el Controlador de Dominio; el más recomendado y productivo y recomendado, se llama Central Store, que no es más que configurar el Editor de Políticas para que no busque las plantillas en la ubicación local donde Windows predeterminadamente lo hace, sino que utilice un recurso compartido donde podemos ir pegando todos los nuevos archivos .admx para que las plantillas se actualicen y funcionen sin problema.

Las nuevas plantillas las podemos tomar de la última versión de Windows, sea Server o Client, pues residen en la ya referenciada carpeta C:WindowsPolicyDefinitions. Aún así, poco tiempo después de que se libera un sistema operativo, también lo hacen las respectivas Plantillas Adminsitrativas para su descarga aparte.

La implementación de un Central Store es relativamente sencilla, pero como se debe tocar el Controlador de Dominio, es necesario tener mucho cuidado y quizá probar en un ambiente controlado antes de.

Requerimientos

– Debemos descargar los ADMX para la última versión del sistema operativo que deseamos soportar y adminsitrar a través de directivas. En este caso, como estamos hablando de Windows 8.1, las descargamos desde aquí:
http://www.microsoft.com/en-us/download/details.aspx?id=41193

Implementación

Antes que nada, cerramos el Administrador de Directivas de Grupo y el Editor si los tenemos abiertos.

De forma predeterminada, tal cual lo muestra la siguiente captura hecha desde un log de Process Monitor, Windows Server, cada que abre una GPO, va a buscar el Central Store en un recurso compartido que se crea desde la instalación del Controlador de Dominio:

image

En este caso, el dominio se llama winside.net, así que la ruta en que debería estar, es dentro de una carpeta llamada PolicyDefinitions también en:

\winside.netSysVolwinside.netPolicies

Noten que como en el caso de la captura, al obtener el NAME NOT FOUND que representa no encontrado, Windows intenta abrir la misma carpeta de forma local accediendo a la ruta:

C:WindowsSYSVOLsysvolwinside.netPoliciesPolicyDefinitions

Es exactamente la misma ruta que la de domain mostrada más abajo.

Si no se encuentra la carpeta o sus archivos .admx, Windows procede a buscarlas en la ubicación predeterminada de C:WindowsPolicyDefinitions y a seguir trabajando con ellas.

Lo que debemos hacer no es más que ayudarle a Windows a encontrar sus plantillas en la ruta compartida, pero antes, es necesario obtener todos los ADMX. Para esto, los descargamos desde el enlace proporcionado en los requerimientos y procedemos a la instalación (Next, Next, Next):

image

*Nota: El mínimo sistema operativo soportado es Windows Server 2008.

Una vez instaladas, abrimos el Explorador de Archivos y navegamos hasta:

C:Program Files (x86)Microsoft Group PolicyWindows 8.1-Windows Server 2012 R2

*Nota: Si tienen Server 2008, y un sistema de 32 bits, debe ser en Program Files y no Program Files (x86).

Hacemos clic derecho en la carpeta PolicyDefinitions y la Copiamos (Copy):

image

Abrimos la ventana de Ejecutar (Windows + R) y digitamos:

\DominioSYSVOLDominioPolicies

Donde \Dominio corresponde al nombre de nuestro dominio, por ejemplo, para este caso que utilizo winside.net, la ruta sería:

\winside.netSYSVOLwinside.netPolicies

image

Hacemos clic derecho en un espacio vacio y pegamos nuestra carpeta PolicyDefinitios:

image

Nos debe quedar junto con unas carpetas con nombre alfanumérico:

image

*Nota: Estas carpetas representan las GPO creadas, incluyendo las predeterminadas.

¡Todo listo! Para saber que nos quedó bien, basta con abrir el Editor de Directivas correspondiente a cualquier GPO creada, expandir el nodo de Policies y asegurarnos que cuando seleccionemos Administrative Templates, se indique que se están obteniendo desde un Central Store:

Pol6

Además de esto, y mucho más importante, debemos ver las nuevas plantillas administrativas correspondiente a la versión implementada. En este caso, todas las de Windows 8.1, por ejemplo:

image

Espero sea de utilidad.

PD: No olviden seguirme en Twitter: https://twitter.com/secalderonr

Saludos.

Checho

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *