Procesar Directivas de Grupo

Las directivas son procesadas y aplicadas inicialmente cuando el equipo arranca y cuando el usuario inicia sesión. Después de la aplicación inicial, las directivas se procesan y aplican a intervalos regulares. En el intervalo el equipo cliente sólo recupera la directiva si la versión almacenada en AD se ha incrementado. Podemos cambiar este comportamiento y también refrescar manualmente la configuración de directiva si lo consideramos necesario.

Cuando un equipo arranca o un usuario inicia sesión es cuando se aplican las directivas, se recupera la configuración desde el Sitio, si existe. Todas las directivas se procesan en el equipo, por lo tanto, un equipo que haya sido comprometido con anterioridad no es de confianza para procesar o implementar directivas de grupo correctamente. Si hay más de dos directivas vinculadas a un contenedor, éstas se procesan con un orden de precedencia, la lista que muestra el interfaz. Se recuperan las directivas del dominio y se aplican, y se sigue con las de OU, si las hay, comenzando con la OU raíz y siguiendo con los objetos padre del equipo.

La configuración de directivas es acumulativa; sin embargo, si se produce algún conflicto entre las mismas, el valor procesado será el posterior. Por ejemplo, a nivel de dominio se indica que las credenciales salvadas son 5, y luego a nivel de OU se establece 1, el resultado será 1.

Cuando el usuario inicia sesión, las directivas se procesan en el mismo orden que las relacionadas con el equipo. En caso de conflicto entre configuración para equipo y con el usuario, se aplicará –normalmente- el valor de la directiva relacionada con el equipo.

Refresco de las directivas

Las directivas se procesan periódicamente, de acuerdo a un intervalo definido. De forma predeterminada, si no son controladores de dominio, se produce cada 90 minutos con una compensación aleatoria de 30 minutos. Para los controladores de dominio, las directivas se refrescan cada 5 minutos. Podemos cambiar estos valores en plantillas administrativas. Si lo establecemos en 0 minutos, el refresco se producirá cada 7 segundos.

Aunque la mayoría de los cambios efectuados en las directivas o en nuevas directivas se aplican durante el intervalo de refresco, las siguientes no lo hacen, siendo aplicadas la siguiente vez que el equipo arranca o el usuario inicia sesión:

  • Las referentes al equipo para instalación de software.
  • Las referentes al usuario para instalación de software.
  • Las referentes al usuario para redirección de carpetas.
  • Algunos de los valores de Seguridad.

*Los valores de seguridad de las directivas relacionadas con el equipo se refrescan cada 16 horas, a pesar de si el equipo cliente ha detectado un cambio en la directiva. Esto proporciona la garantía de que los valores de seguridad se aplican cada 16 horas, aunque se hayan modificado localmente.

Proceso bajo demanda

También podemos activar un refresco en segundo plano de una directiva bajo demanda desde el cliente. Sin embargo, la aplicación de la directiva no se puede obligar a los clientes bajo demanda desde el servidor.

Para un refresco manual de la directiva en equipos con Windows 2000 hemos de utilizar el comando Secedit:

Directivas relacionadas con el equipo: secedit /refreshpolicy machine_policy /enforce

Directivas relacionadas con el usuario: secedit /refreshpolicy user_policy /enforce

Para Windows 2003 y XP, usaremos el comando gpupdate:

Directivas relacionadas con el equipo: gpupdate /target:equipo /force

Directivas relacionadas con el usuario: gpupdate /target:usuario /force

A ambas a la vez: gpupdate /force

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *