R2 y las GPO–III-

Elementos de Directivas de Grupo

Creo que conocer los conceptos y terminología de los elementos de la Directiva de Grupo es interesante para implementarlas después en un bosque de AD, así que manos a la obra.

Los elementos comienzan por ellas mismas, las GPOs. Son un conjunto predefinido de configuraciones disponibles para poder aplicarse a los objetos equipo y/o usuario de AD. La configuración disponible en una Directiva particular se crea utilizando una combinación de archivos de plantillas administrativas incluidas o referenciadas en la GPO. Si la administración de un equipo o usuario necesita cambios, podemos importar plantillas administrativas a una GPO para aumentar su funcionalidad.

Almacenamiento y replicación de la GPO

Las GPO se almacenan en el sistema de archivos y en la base de datos de AD. Cada dominio en un bosque de AD almacena una copia completa de las GPOs de un dominio particular.

Dentro de AD, los vínculos de GPO y la info de versión se guardan dentro del Contexto de nomenclatura de dominio de la base de datos. Ya que esta partición sólo se replica dentro de un dominio único, el proceso de vínculos de GPO a través de dominios se usarían Sites o simplemente un vínculo de GPO entre dominios, lo que puede significar mayor tiempo de carga y proceso.

Los valores de la GPO se almacenan en el sistema de archivos de todos los DC dentro de la carpeta SysVol. Esta carpeta se comparte en todos los DC. Cada GPO de dominio tiene su correspondiente carpeta ubicada dentro de sysvoldominioPolicies.

policies

La carpeta de la GPO se llama con el identificador después de ser asignado durante su creación, es decir el GUID. El GUID de una GPO se lista cuando vemos las propiedades de una GPO de dominio usando la Consola de Administración de Directivas de grupo (GPMC). Dentro de la carpeta de la GPO está un conjunto común de subcarpetas y archivos, como la carpeta de usuario, la de equipo y el archivo gpt.ini.

policies02policies03

La replicación de GPO

Ya que las Directivas de grupo se guardan en la base de datos de AD y en sistema de archivos del DC, toda la información de la GPO se replica por los DCs. La parte del sistema de archivos se replica dentro del grupo Domain System Volume Distributed File System Replication mediante el servicio DFSR (Replicación de sistema de archivos distribuido).

La programación de la replicación del volumen de Domain System se controla desde la programación del DFSR, que de forma predeterminada, sigue el mismo ciclo de replicación que la bd de AD. Cada 5 minutos o, inmediatamente entre DCs en un Site de AD único, siguiendo la programación de vínculo de Site entre DCs en Sites separados. Los dominios anteriores utilizarán FRS (File Replication Service) en vez de DFSR.

Subcarpeta USER

Archivos y carpetas usadas para almacenar la configuración, software, scripts, y cualquier otra configuración de Directiva específica del usuario, y las directivas del objeto usuario configuradas en una Directiva de Grupo particular.

Subcarpeta MACHINE

Archivos y carpetas usadas para almacenar la configuración, software, scripts, y cualquier otra configuración de Directiva específica del equipo o directivas del objeto equipo configuradas en una Directiva de Grupo particular.

GPT.INI

Cuando creamos una Directiva de Grupo se crea una carpeta para ella dentro de la carpeta sysvol de los DC. En la raíz de ésta carpeta tenemos el archivo gpt.ini. Este archivo contiene el número de revisión de la GPO. Este número se usa cuando se procesa una Directiva de Grupo por un equipo o usuario. Cuando una GPO se procesa por primera vez, el número de revisión se guarda en el sistema y cuando ocurren subsiguientes procesos de GPO, el número guardado en el archivo gpt.ini se compara con el guardado en la caché del sistema local. Si el número no ha cambiado ciertas partes de la GPO no se procesan. En todo caso hay ciertas partes de la GPO que se procesan siempre, como los scripts.

Cada vez que una Directiva de Grupo cambia el número de revisión se incrementa, y aunque gpt.ini contiene un número único, este representa una revisión independiente para las secciones del usuario y del equipo de la Directiva de Grupo.

La configuración predeterminada de NO proceso de ciertas partes de la Directiva de Grupo si el número de revisión no ha cambiado, puede sobrescribirse. En algunos casos, aunque la GPO no ha cambiado, la configuración del objeto podría haber sido cambiado por el usuario o un programa y algunas veces forzar a la Directiva de Grupo completa a ser procesada siempre si es necesario.

Este valor de configuración está disponible en ambos, Configuración de equipo y Configuración de usuario de la Directiva de Grupo.

Plantillas administrativas de Directivas de Grupo

Las plantillas son, en la mayoría de casos, un conjunto de archivos de texto o XML que incluyen configuraciones claras definidas que pueden utilizarse para establecer un número de valores distintos.

Se proporcionan para dar a los administradores fácil acceso a muchos valores configurables utilizados comúnmente para la administración del servidor, del equipo y de usuarios finales.

Cuando se crea una nueva Directiva de Grupo, un conjunto básico de plantillas administrativas se importan o referencian dentro de la Directiva. Las plantillas además pueden importarse a una directiva en particular si es necesario.

Almacenamiento central en Windows 7 y Server 2008 R2

Como ya se ha comentado, cada Directiva de Grupo en un bosque de AD tendrá su correspondiente carpeta en sysvol d cada DC del dominio donde fue creada. Si los DC del dominio en particular ejecutan Windows Server 2003, cada una de estas carpetas debería contener una copia de cada una de las plantillas administrativas cargadas en dicha directiva. Esto crea archivos de plantilla uplicados y con ello mayor espacio de almacenamiento utilizado e incremento en el tráfico de replicación.

En la nueva infrasestructura incluída con Windows Vista y Server 2008 y continuada con Windows 7 y Server 2008 R2, las Directivas nuevassólo guardan las carpetas y archivos necesarios para el almacenamiento de los valores configurados, los scripts, el registry.pol y archivos relacionados con la GPO. Cuando se abre una Directiva de Grupo para editarla o ser procesada por un equipo con Vista, Windows 7, 2008 o 2008 R2, la copia local de las plantillas administrativas se referencia pero no se copiaa la nueva carpeta de la directiva en sysvol. En su lugar, las plantillas se referencian desde los archivos almacenados localmente al almacén central del dominio.

El almacén central del dominio es un repositorio de archivos que aloja cada una de las nuevas generaciones de plantillas administrativas. Contendrá todas las nuevas plantillas ADMX y ADML y cada equipo referenciará los archivos, que está usando, en el DC. Con el almacén central creado, cuando se abre una Directiva o se procesa, el sistema comprueba en primer lugar la existencia en dicho almacén y entonces sólo usa las plantillas almacenadas aquí.

Este almacén central se puede crear dentro de AD en lo DC’s que ejecuten cualquier versión de Windows Server 2003, 2008 o 2008 R2.

ya continuaremos…

Un comentario en “R2 y las GPO–III-”

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *