Administración de Windows
Guía de solución de problemas de directiva de grupo
Derek Melber
Resumen:
- Problemas de GPO comunes
- Reglas de directiva de grupo
- Solución de problemas de GPO
- Herramientas de solución de problemas
Microsoft Active Directory se ha convertido en un componente importante de muchas infraestructuras de TI. Una de las características más importantes de Active Directory es la directiva de grupo, que permite a los administradores centralizar la administración de controladores de dominio, servidores miembro y escritorios.
Aunque la directiva de grupo ofrece claramente muchas ventajas, tiene un pequeño problema. Su diseño e implementación pueden resultar complejos en una organización grande e incluso puede ser más problemática para solucionar problemas cuando algo sale mal. En este artículo, profundizaré en la estructura de la directiva de grupo y mostraré cómo solucionar sus problemas. Al final, tendrá todas las armas que necesita para enfrentarse a casi cualquier problema de directiva de grupo.
Configuración problemática
Hay muchas partes móviles dentro de la directiva de grupo, especialmente con respecto a la manera en que se comunica con el diseño y la implementación generales de Active Directory®. Al solucionar muchas clases de problemas de acceso y red, siempre debe incluir Active Directory y los principios básicos de la implementación de directiva de grupo en la búsqueda de una solución. Para empezar el proceso de solución de problemas, centrémonos en la configuración de directiva de grupo que puede ser incorrecta y luego pasaremos a problemas más complejos que pueden hacer que la directiva de grupo funcione incorrectamente.
La configuración de directiva de grupo la consultan los administradores de Active Directory que usan archivos de plantilla administrativa (archivos ADM o ADMX) y el Editor de objetos de directiva de grupo o GPEdit (que se inicia al ejecutar gpedit.msc). Con GPEdit, el administrador crea archivos de objeto de directiva de grupo o GPO. Los GPO están configurados para aplicarse (o no aplicarse) a equipos y usuarios dentro de la estructura de Active Directory. Hay una serie de reglas que los GPO deben seguir para funcionar correctamente. Veamos esas reglas.
El GPO debe estar vinculado Cuando se crea un GPO nuevo, no puede estar vinculado a ningún nodo dentro de Active Directory. Aunque el GPO se puede editar y modificar, no afectará a ningún objeto hasta que se vincule a un nodo. Para asegurarse de que el GPO está vinculado correctamente, puede ver la ventana de información en la Consola de administración de directivas de grupo (GPMC) que se muestra en la Figura 1.
Figura 1** Los vínculos de GPO se muestran con claridad **(Hacer clic en la imagen para ampliarla)
GPO debe tener como destino el objeto correcto Como sabe, la directiva de grupo debe tener como destino los objetos correctos en Active Directory. Sin embargo, esto a veces se pasa por alto en medio de un ejercicio de solución de problemas. Dentro de un GPO, hay dos categorías principales: equipo y usuario. Cuándo configure un GPO, esté seguro de saber si es un equipo o un objeto de usuario. Así, podrá comprobar que los tipos de objeto correctos se colocan en la unidad organizativa (OU) a la que se vincula el GPO.
Los GPO no se aplican a grupos Aunque puede desear que así sea, un GPO no se puede aplicar a un objeto de grupo de seguridad de Active Directory. Los único dos objetos que puede configurar un valor de GPO son equipos y usuarios. Los GPO no pueden configurar objetos a través de la pertenencia a grupos. Por ejemplo, si hay un GPO vinculado a la unidad organizativa de finanzas (Finance), como se muestra en la Figura 2, los únicos objetos que se verán afectados por la configuración son Derek y Frank. La configuración del GPO no afectará a los miembros del grupo Marketing, con independencia de quién pertenezca a ese grupo.
Figura 2** Unidad organizativa de finanzas (Finance) y objetos incluidos **(Hacer clic en la imagen para ampliarla)
El objeto de destino debe estar en la ruta de acceso del GPO Cuando advierta que un valor de GPO no afecta a un objeto como debe, hay otro valor más importante: el objeto debe estar dentro del ámbito de administración (SOM) del GPO. Esto significa que el objeto debe estar ubicado en el nodo donde el GPO está vinculado (incluso con un nodo secundario será suficiente). Por ejemplo, ninguno de los objetos de la unidad organizativa Marketing se verá afectado por un GPO que esté vinculado a la unidad organizativa de finanzas, como se muestra en la Figura 3. El SOM de un GPO abarca desde el nodo donde está vinculado, hasta el final de la estructura de Active Directory.
Figura 3** Cuando las unidades organizativas están en el mismo nivel, los GPO sólo se aplican a la unidad organizativa a la que están vinculados **(Hacer clic en la imagen para ampliarla)
Los GPO se deben habilitar Cuando se crea un GPO, no se configura para realizar ninguna modificación en objetos de destino. Sin embargo, se habilita para las partes de equipo y usuario. Si cualquiera de estas partes se deshabilita, puede ser complicado localizar este problema. Por lo tanto, cuando solucione problemas de un GPO que no se aplicará, es recomendable comprobar si todos o alguno de los GPO están deshabilitados. Para ello, puede consultar Group Policy Objects (Objetos de directiva de grupo) | Account Policy (Directiva de cuentas) en la GPMC y comprobar el estado de GPO.
Algunos valores necesitan un reinicio Cuando un valor de GPO no funciona correctamente, quizás se deba al procesamiento inherente de los GPO. Cuando se desencadena la actualización en segundo plano periódica de los GPO, sólo puede procesar parte de los valores de GPO, pero no todos. Por lo que, aunque haya creado un valor, puede que aún no haya surtido efecto. Hay algunos valores que se clasifican como directivas de primer plano y sólo se aplican al reiniciar el equipo o cuando el usuario cierra sesión y luego vuelve a iniciarla. Algunos ejemplos de valores que se comportan así son la instalación de software, la redirección de carpetas y la aplicación de script.
Aplicación sincrónica y asincrónica de la configuración
En un GPO, puede configurar cómo se realiza la aplicación de directivas en el reinicio y el inicio de sesión. Los cambios que puede realizar ofrecerán acceso inmediato al escritorio mientras las directivas se aplican, o bien asegúrese de que todas directivas se aplican antes de que el usuario tenga acceso al escritorio. La Figura 4 muestra cómo se comporta cada sistema operativo de forma predeterminada. Si desea modificar este comportamiento, puede cambiar el siguiente valor de directiva:
Computer Configuration | Administrative Templates |
System | Logon | Always wait for the network at computer startup and logon
Figure 4 Procesamiento predeterminado en cliente
| Sistema operativo | Inicio | Inicio de sesión | Actualización de directiva |
| Windows 2000 | Sincrónicamente | Sincrónicamente | Asincrónicamente |
| Windows XP Professional | Asincrónicamente | Asincrónicamente | Asincrónicamente |
| Windows Server 2003 | Sincrónicamente | Sincrónicamente | Asincrónicamente |
La mayoría de los administradores prefieren tener una aplicación sincrónica de las directivas, con el fin de garantizar que todas se aplican antes de que el usuario pueda tener acceso al escritorio. Esto garantiza que todos los valores de configuración y seguridad se aplican antes de que el usuario pueda realizar cualquier trabajo. Tenga en cuenta que éste no es el estado predeterminado en Windows® XP Professional, que se ha optimizado para una velocidad mejorada de inicio de sesión.
Modificación de herencia predeterminada
Hay cuatro métodos diferentes que se pueden usar para modificar la herencia predeterminada de procesamiento de GPO. Estas opciones son eficaces y se deben usar con moderación, ya que pueden causar modificaciones considerables en el comportamiento del procesamiento de directivas de grupo. Asimismo, sus problemas pueden ser difíciles de resolver. Las opciones para modificar la herencia predeterminada incluyen los siguientes cuatro valores y configuraciones:
- Bloqueo de herencia de directivas
- Cumplimiento de GPO
- Filtrado de GPO de la lista de control de acceso (ACL)
- Filtros del instrumental de administración de Windows (WMI)
Puesto que estos valores se deben usar con moderación, debe ser fácil registrar cuándo se usan. Para averiguar si estas opciones están en uso, consulte la GPMC. El bloqueo de la herencia se realiza en el dominio o en el nodo de la unidad organizativa (OU) en la GPMC. El cumplimiento de GPO, el filtrado de ACL y el filtrado de WMI se establecen en cada GPO.
También puede ejecutar el comando Gpresult desde el equipo de destino para hacerse una idea de si alguno de estos valores prohíbe la aplicación de las directivas. Para obtener una vista más exhaustiva del conjunto resultante de directivas que se aplica, puede agregar el conmutador /v al comando Gpresult, que ofrecerá la información detallada.
Problemas de plantillas ADM
Cuándo intente configurar los valores de un GPO en la sección Plantillas administrativas, trabajará con las plantillas ADM. Además de las plantillas ADM que se suministran con el sistema operativo, puede personalizar las que desee usar en un GPO. El código de la plantilla ADM crea las carpetas y las directivas del Editor de directivas de grupo en el nodo Plantillas administrativas. Sin embargo, si la plantilla ADM está dañada, no se encuentra o no está configurada correctamente, es bastante probable que no vea parte o la totalidad de la configuración en el editor. A continuación se muestran otros problemas que se deben evitar cuando se usen plantillas ADM.
Plantillas ADM que faltan Al editar un GPO y descubrir que hay valores en una plantilla personalizada ADM que no aparecen en el editor, debe importar la plantilla ADM en el GPO. Para ello, sólo tiene que hacer clic con el botón secundario del mouse en el nodo Plantillas administrativas del editor y seleccionar Agregar o quitar plantillas.
Preferencias que faltan Hay dos tipos de configuración que se pueden crear en un GPO personalizado: preferencias y directivas. Las directivas son los valores predeterminados de Microsoft que se encuentran en una de las cuatro subclaves del registro; cada una termina con el texto "Directivas" (Policies). Las preferencias son las modificaciones del registro "de estilo anterior" que no se encuentran en ninguna de las cuatro subclaves y que son difíciles de invertir una vez configuradas. Estas preferencias no aparecen en el editor de forma predeterminada. Debe activarlas para que aparezcan en el menú Ver de la barra de herramientas. Aquí, seleccione Filtrado y active la casilla de verificación "Mostrar sólo valores de directivas que pueden ser totalmente administrados". De esta forma, se mostrarán inmediatamente las preferencias configuradas en las plantillas ADM personalizadas que ha importado.
Herramientas útiles
Hay muchas herramientas disponibles para ayudarle a localizar los problemas de directiva de grupo. Algunas están integradas en el sistema operativo y otras pueden descargarse e instalarse. A continuación, voy a describir las herramientas correspondientes de forma que pueda elegir la correcta para su tarea.
Dcgpofix Puede ocurrir que haya un problema con uno de los dos GPO predeterminados: Directiva predeterminada de dominio y Directiva predeterminada de controladores de dominio. Si uno o ambos de los GPO están dañados, tanto como para que no pueda corregirlos, o se ha producido algún otro problema desconocido, puede usar la herramienta dcgpofix para revertirlos al estado predeterminado. Esta herramienta se incluye en Windows Server® 2003. No debe ejecutar esta herramienta en ningún controlador de dominio de Windows 2000; use Recreatedefpol en su lugar. Y recuerde, al usar esta herramienta, perderá cualquier configuración personalizada.
Recreatedefpol Esta herramienta es similar a Dcgpofix, pero para los servidores Windows 2000. Puede devolver los dos GPO predeterminados al estado de recién instalados. Esta herramienta sólo se debe usar en una situación de recuperación de desastres, no para mantenimiento rutinario de GPO. Puede descargar esta herramienta.
Visor de eventos El Visor de eventos tiene información en abundancia con respecto a directiva de grupo. Desgraciadamente, requiere consultar todos los archivos de registro diferentes para encontrar las entradas de directiva de grupo. Encontrará entradas relacionadas con aplicación, réplica y actualización de directivas, que pueden ser útiles al tratar de localizar un problema. No siempre hay mucha información sobre errores específicos de directiva de grupo en los registros de eventos, pero recuerde que siempre puede buscar en TechNet si encuentra errores que no puede identificar.
Gpresult Esta herramienta sólo se puede ejecutar en el equipo de destino, aunque ofrece información acerca del Conjunto resultante de directivas (RSoP), los GPO bloqueados, los permisos de GPO, etc. El uso del comando con el conmutador /v mostrará una gran cantidad de información acerca de los GPO que afectan el equipo y acerca de cuentas de usuario asociadas al inicio de la sesión actual.
Gpupdate Si va a implementar la configuración nueva de GPO o trata de garantizar que todo el procesamiento de GPO se ha llevado a cabo, puede usar la herramienta Gpupdate. Se trata de una herramienta de línea de comandos que se suministra con el sistema operativo (Windows XP y posterior). Al ejecutarla, activará una actualización en segundo plano que aplicará toda la configuración de GPO que sigue este tipo de actualización. Si agrega el conmutador /force, volverá a aplicar toda la configuración de GPO, incluso si no ha habido ningún cambio en el GPO desde la última actualización. La ejecución de este comando antes de ejecutar el comando Gpresult constituye un método muy eficaz para seguir los problemas de GPO.
Gpotool Puesto que los GPO se replican desde el controlador de dominio donde los cambios de GPO ocurren inicialmente hasta el resto de controladores de dominio, existe la posibilidad de que se produzca un error de réplica o no converja de manera eficaz. El resultado es la incoherencia o error de los cambios en la aplicación correcta en los equipos de destino. Herramientas tales como Gpresult y RSOP pueden ayudar a determinar qué GPO se han aplicado, aunque esta herramienta, Gpotool, puede ayudar a determinar si los GPO de cada controlador de dominio son coherentes. La herramienta forma parte del Kit de recursos de Windows Server 2003 en go.microsoft.com/fwlink/?LinkId=77613.
Replmon Al solucionar problemas de réplicas de GPO de un controlador de dominio a otro, es importante saber qué herramientas puede usar para que las réplicas funcionen. Puesto que hay dos partes de un GPO que se deben replicar, hay dos partes a las que se debe prestar atención. La primera, que es el contenido de SYSVOL en cada controlador de dominio, se controla mediante el servicio de replicación de archivos (FRS). Realmente no hay mucho que pueda hacer para controlar esta réplica, excepto deshabilitar y habilitar el servicio para que pueda desencadenar un intervalo de réplica. La otra parte del GPO, que se almacena en Active Directory, está controlada por la réplica de Active Directory. Esta réplica se puede controlar entre controladores de dominio del mismo sitio de Active Directory mediante Sitios y servicios de Active Directory. Sin embargo, si necesita desencadenar una réplica entre controladores de dominio en sitios diferentes de Active Directory, debe usar una herramienta como Replmon. Replmon puede forzar la réplica de la base de datos de Active Directory a través de los límites del sitio, mientras que Sitios y servicios de Active Directory no puede. Por lo tanto, cuando haya información no coincidente de directiva de grupo, que se almacene en Active Directory, puede usar Replmon para desencadenar un proceso de réplica con el fin de conseguir que la información converja en todos los controladores de dominio. Replmon forma parte del kit de recursos y las herramientas de soporte técnico de Windows XP. Puede descargar esta herramienta en go.microsoft.com/fwlink/?LinkId=77614.
RSOP Al igual que la herramienta de línea de comandos Gpresult, RSOP ofrece una interfaz gráfica para consultar la configuración aplicada por todos los GPO. RSOP.MSC es una herramienta integrada para Windows XP Professional y Windows Server 2003. La herramienta ofrece los resultados de toda la configuración de directivas aplicada en un formato semejante al del Editor de objetos de directiva de grupo, como se muestra en la Figura 5.
Figura 5** Herramienta Conjunto resultante de directivas **
Conclusión
La solución de problemas de directiva de grupo no es la tarea más fácil del mundo. De hecho, como este artículo muestra, la directiva de grupo puede ser bastante compleja. Al tratarla en la solución de problemas, debe entender la arquitectura principal y el procesamiento general propio de la directiva de grupo. También debe conocer cómo se actualiza, se replica, se procesa y se aplica un GPO. Si domina todo estos conceptos, la solución de cualquier problema de directiva de grupo será mucho más fácil. Siguiendo las instrucciones de este artículo y usando las herramientas correctamente, estará listo para enfrentarse a todos los problemas de directiva de grupo que pueda encontrar.
Derek Melber es director de soluciones de educación, certificación y compatibilidad para DesktopStandard, una subsidiaria que pertenece por completo a Microsoft. Derek es coautor de Microsoft Windows Group Policy Guide (Microsoft Press, 2005). También ha escrito una serie de libros sobre auditoría de seguridad de Windows (www.theiia.org). Póngase en contacto con él en la dirección derekm@desktopstandard.com.
© 2008 Microsoft Corporation and CMP Media, LLC. Reservados todos los derechos; queda prohibida la reproducción parcial o total sin previa autorización.