GPOs en Windows Vista III : Integración con Active Directory

En este tercer POST sobre las Políticas de Grupo en Windows Vista nos introduciremos  en cierta medida en el comportamiento de estas en un Directorio Activo, ya sea de Windows 2000, Windows 2003 o Windows Codename LongHorn.

Las mejoras en el tratamiento de políticas de grupo no se quedan tan solo en las políticas locales, Windows Vista también ofrece sus ventajas en un entorno de Active Directory, de esta manera comprobaremos que tenemos la posibilidad de crear un repositorio centralizado de políticas de grupo en el Directorio Activo con los consecuentes beneficios en la replicación de estas y también veremos que podemos configurar políticas propias de Windows Vista a través de la consola GPMC (Group Policy Management Console) que ya viene incluida en este Sistema Operativo en su versión 2.0.

Edición de Políticas de Windows Vista en Active Directory:

Una duda que nos pueden surgir entorno a las políticas de grupo es cómo integrar las numerosas nuevas directivas de Windows Vista (como el Control Parental, Bit Locker, UAC etc.) en Active Directory para que estas se apliquen al resto de equipos con Windows Vista instalado, sabiendo además que dichas políticas no están presentes en Windows 2003. La respuesta es sencilla: Usando la herramienta GPMC.msc desde un equipo cliente del dominio con Windows Vista instalado.

La herramienta GPMC de Windows Vista nos posibilita editar políticas propias de este S.O. pero no en su totalidad, algunas políticas nos devolverán el siguiente error si intentamos configurarlas:

Para poder editar estas políticas deberemos disponer de «Windows Codename LongHorn» o actualizar el esquema de Windows 2003 para que soporte estas características mediante la versión de la herramienta adprep incluida en LONGHORN (Algo nada recomendable mientras LongHorn aun se encuentre en estado de Beta ya que las modificaciones en el esquema de AD no se pueden eliminar posteriormente). Las políticas afectadas por este problema son las siguientes:

• Administrador de directivas de red cableada
• Directivas de red inalámbrica (solo las propias de Windows Vista)

El resto de nuevas políticas (más de 800) no son afectadas por este problema, es decir que podremos configurarlas a través de la consola GPMC de Windows Vista. Esto es posible por que las modificaciones a través de GPMC son guardadas en un archivo binario llamado «Registry.pol» ubicado en la carpeta «User» o «Machine» según sea el caso de la carpeta «SysvolDomainPoliciesGuid_de_Politica» del maestro PDC desde el cual se replicará al resto de Controladores de Dominio. Es decir que aun que en Windows 2003 no veamos las plantillas administrativas y configuraciones propias de Windows Vista, los equipos clientes de Windows Vista si van a poder reconocer dichas configuraciones y aplicarlas.

Para hacer la comprobación podéis configurar una GPO en un dominio a través de la herramienta GPMC de Windows vista con alguna opción propia de este (como Bitlocker), conectaros desde otro equipo cliente con este S.O. instalado y usar GPMC o RSOP (conjunto resultante de directivas) para comprobar que dicha política también se le está aplicando a él.

El Repositorio Centralizado:

Cada vez que creamos un nuevo Objeto de Política de Grupo se crea una nueva carpeta en «SysvolDomainPolicies» del maestro PDC en la cual su ubicará su configuración, así como una copia de las plantillas administrativas de las que hace uso dicha política, las cuales podemos ver dentro de la subcarpeta «adm», que ocupa aproximadamente 4MB dependiendo de la cantidad de plantillas de las que hagamos uso. Esto significa que por cada GPO que realicemos se crearán aproximadamente 4MB de información redundante que luego se replicarán al resto de Controladores de Dominio, algo a tener en cuenta sobretodo en grandes infraestructuras con un gran número de GPOs y de Controladores de Dominio, y más aun si dichos DCs están distribuidos en diferentes «Sitios». Por ejemplo una configuración de 10 GPOs supondrían unos 30MB de información redúndate a replicar por cada Controlador de Dominio. Windows Vista ofrece una solución de optimización mediante un repositorio de plantillas administrativas centralizado, evitándose de esta manera la información redundante, ahorrando recursos y mejorando el sistema de replicación (algo ya de por si mejorado mediante el nuevo sistema de replicación DFS incluido ya en la versión R2 de Windows 2003).

Para crear dicho repositorio debemos copiar la carpeta «PolicyDefinitions» de la carpeta «%systemroot%» de un equipo con Windows Vista a la carpeta «SysvolDomainPolicies» de un Controlador de Dominio (preferiblemente el maestro PDC) desde el cual se replicará al resto de DCs. Como podéis comprobar, también aprovechamos las mejoras ya comentadas en anteriores post de las plantillas admx como la compatibilidad con distintos idiomas (archivos adml), aun que como es lógico, este repositorio centralizado no es compatible con Versiones Anteriores de Windows.

Para demostrar el correcto funcionamiento del repositorio probaremos a renombrar como *.old una de las plantillas *.admx de este (en el ejemplo he usado ParentalControls.admx), ya que si todo funciona como debería las configuraciones ofrecidas por dicha plantilla deberían desaparece al intentar editar una GPO mediante GPMC de Windows Vista

.

Las configuraciones de control parental han desaparecido demostrando que el repositorio esta funcionando correctamente, si volvemos a renombrar el archivo con la extensión correcta comprobaremos que dichas configuraciones vuelven a estar disponibles como puede verse en la imagen de abajo.

Como hemos comprobado a lo largo de esta serie de post sobre GPOs en Windows Vista, los cambios han sido sustánciales, pero no todo se queda aquí, en el próximo post iremos comprobando las políticas más destacadas de este nuevo Sistema Operativo y aquello que nos permiten hacer, me despido hasta entonces.