Exportar (0) Imprimir
Expandir todo

Administrar las características del Service Pack 2 de Windows XP mediante la Directiva de grupo: implementar opciones de Directiva de grupo en SP2

Implementar opciones de Directiva de grupo en SP2

Publicado: agosto 1, 2004

En esta sección se ofrece una introducción a la implementación de las opciones de Directiva de grupo incluidas en SP2. En primer lugar, se describen las revisiones que tal vez tenga que aplicar a las estaciones de trabajo de administración. A continuación, se incluyen recomendaciones sobre el modo de implementar las nuevas opciones de directiva en su entorno.

Las siguientes directrices se basan en el supuesto de que utiliza la Directiva de grupo para administrar sus usuarios y equipos en un dominio Windows 2000 Server o Windows Server 2003.

En esta página

Antes de instalar SP2 Antes de instalar SP2
Guía de implementación de la Directiva de grupo para SP2 Guía de implementación de la Directiva de grupo para SP2
Administrar la replicación de archivos .ADM en el dominio Administrar la replicación de archivos .ADM en el dominio

Antes de instalar SP2

SP2 incluye modificaciones en las herramientas utilizadas para administrar la Directiva de grupo. Éstas incluyen cambios en gptext.dll y en la funcionalidad LISTBOX ADDITIVE de los archivos de plantillas administrativas.

Si usted u otro administrador de la organización va a administrar la configuración de directivas en equipos que ejecutan sistemas operativos o Service Packs anteriores (por ejemplo, SP1 de Windows XP o Windows Server 2003), tendrá que instalar una revisión para que las opciones de directiva aparezcan correctamente en el Editor de objetos de Directiva de grupo.

Existen revisiones para los siguientes sistemas operativos:

  • Windows 2000

  • SP1 de Windows XP

  • Windows Server 2003

Para obtener estas revisiones, consulte el artículo 842933 de Microsoft Knowledge Base (en inglés).

Si va a administrar las opciones de directiva únicamente desde estaciones de trabajo que ejecutan SP2 de Windows XP, no tendrá que aplicar ninguna revisión. Podrá ejecutar, por ejemplo, el Editor de objetos de Directiva de grupo y ver todas las opciones de directiva nuevas incluidas con SP2.

Aparición de varios mensajes de error

Algunos archivos .adm instalados por SP2 no se cargan totalmente en versiones anteriores de gpedit, incluidas de forma predeterminada en Windows Server 2003, SP1 de Windows XP y Windows 2000. Al intentar realizar esta operación, aparecen varios mensajes de error cuando los archivos system.adm e inetres.adm se cargan en gpedit. Los mensajes de error indican que hay una cadena demasiado grande. Esto se debe a que las versiones anteriores de gpedit no pueden manejar correctamente la construcción “#if ver >= 5 / #endif” en los archivos .adm de SP2. Aunque los archivos .adm se cargan correctamente al hacer clic en Aceptar en todos los mensajes de error que aparecen, no se mostrarán las nuevas opciones de directiva de SP2 que utilizan la sintaxis LISTBOX. (Este problema no se produce en los equipos que ejecutan SP2 de Windows XP ni en los equipos que se han actualizado con la última versión de gpedit.)

Este problema es especialmente importante debido al modo en que se distribuyen los archivos .adm en un dominio. De forma predeterminada, cuando se abre un objeto de Directiva de grupo, se comparan las marcas de hora de los archivos .adm almacenados en el objeto de Directiva de grupo que se va a modificar con las de los archivos del equipo local. Si los archivos .adm locales tienen una marca de hora más reciente, se cargan en el controlador de dominio y se replican en todo el dominio. A partir de ese momento, todas las versiones anteriores de gpedit utilizarán los nuevos archivos .adm. Este escenario se ilustra en el siguiente procedimiento:

  1. Instale el SP2 de Windows en el equipo administrativo.

  2. Abra un objeto de Directiva de grupo existente en el Editor de objetos de Directiva de grupo. El archivo .adm almacenado en el equipo administrativo se carga en el controlador de dominio. El objeto de Directiva de grupo "se actualiza" a SP2.

  3. Este archivo .adm se replica en todos los controladores del dominio.

  4. Si el objeto de Directiva de grupo se abre en otras estaciones de trabajo administrativas del dominio que no ejecutan SP2 de Windows XP o la última versión de gpedit, aparecerán mensajes de error.

    important.gif  Importante
    Al abrir un objeto de Directiva de grupo en un equipo que ejecuta SP2 de Windows XP, todas las demás estaciones de trabajo administrativas utilizarán los nuevos archivos .adm (tenga en cuenta que, para que esto ocurra, no es necesario realizar ningún cambio en el objeto de Directiva de grupo). Esto generará mensajes de error cuando se carguen versiones anteriores de gpedit. Para obtener más información sobre este problema, consulte el artículo 842933 de Microsoft Knowledge Base.

Mediante la instalación de la revisión para Windows 2000, Service Pack 1 de Windows XP y Windows Server 2003, se asegurará de que los archivos .adm del SP2 de Windows XP se carguen correctamente en estas plataformas.

Para obtener más información sobre la replicación de archivos .adm, consulte Recomendaciones para la administración de archivos de plantillas administrativas (.adm) de Directiva de grupo (en inglés).

Usar la Directiva de grupo para deshabilitar temporalmente la distribución de SP2 a través de Windows Updates y Actualizaciones automáticas

Microsoft recomienda que implemente SP2 lo antes posible. Sin embargo, si no utiliza Systems Management Server (SMS), Software Update Services (SUS) ni ninguna otra solución de administración de actualizaciones, y necesita más tiempo para planear la distribución de SP2, puede utilizar una opción de Directiva de grupo para deshabilitar temporalmente la distribución de SP2 mediante Windows Update y Actualizaciones automáticas. Para ello, utilice la opción de directiva Do not allow delivery of Windows XP Service Pack 2 (SP2) through Windows Update or Automatic Updates, disponible en el nuevo archivo NoXPSP2Update.adm. Si habilita esta opción de directiva, SP2 no estará disponible a los usuarios a través de Windows Update, y el cliente de Actualizaciones automáticas no descargará este paquete.

Los administradores pueden descargar el archivo NoXPSP2Update.adm del sitio Web de Microsoft TechNet en http://go.microsoft.com/fwlink/?LinkId=33543.

note.gif  Nota
El mecanismo para deshabilitar temporalmente la distribución de SP2 sólo estará disponible durante un tiempo limitado. Transcurrido ese período, esta opción de directiva no tendrá ningún efecto. Consulte la página Web de SP2 de Windows XP en el sitio Web de Microsoft TechNet para obtener información sobre la fecha de vencimiento.
La opción de directiva Do not allow delivery of Windows XP Service Pack 2 (SP2) through Windows Update or Automatic Updates no impide la instalación del SP2 de Windows XP a través de otros mecanismos, como SMS, SUS, un disco con el producto, etc.
La opción de directiva Do not allow delivery of Windows XP Service Pack 2 (SP2) through Windows Update or Automatic Updates no deshabilita Actualizaciones automáticas ni el acceso a Windows Update. Tampoco impide la distribución de otras actualizaciones distintas al SP2 de Windows XP mediante Windows Update o Actualizaciones automáticas.

Guía de implementación de la Directiva de grupo para SP2

En esta sección se describen las prácticas recomendadas para implementar las opciones de directiva incluidas con SP2.

  1. Determine si necesita instalar la revisión anteriormente descrita, como se ilustra en el siguiente diagrama.

    mangxp01.gif

  2. Una vez realizados los pasos del diagrama, puede comenzar con la fase de implementación de SP2 en los equipos de la organización, como se explica en la sección “Guía de implementación de la Directiva de grupo para SP2 de Windows XP”, mas adelante en este documento.

  3. Evalúe las nuevas opciones de directiva para determinar el modo en que desea administrar la nueva funcionalidad en SP2. Consulte las secciones de este documento para obtener más información sobre las nuevas opciones de directiva en SP2.

  4. Pruebe las opciones de directiva, como se indica en el siguiente diagrama.

    mangxp02.gif

  5. Una vez probadas las opciones de directiva, deberá realizar pruebas piloto de algunas opciones de directiva en el entorno de producción, como se indica en el siguiente diagrama.

    mangxp03.gif

Para obtener información detallada sobre la implementación de objetos de Directiva de grupo, consulte Escalonar las implementaciones de Directiva de grupo (en inglés).

Actualizar los objetos de Directiva de grupo existentes

Para actualizar los objetos de Directiva de grupo existentes de forma que contengan la opción para configurar las opciones de directiva de SP2, deberá abrir cada objeto de Directiva de grupo. GPMC proporciona el método más sencillo para ver todos los objetos de Directiva de grupo de un dominio.

Para actualizar los objetos de Directiva de grupo existentes

  1. Inicie sesión en un equipo con SP2 instalado.

  2. Abra GPMC y haga clic en el dominio que contiene los objetos de Directiva de grupo que desea actualizar.

  3. Haga clic en el contenedor Objetos de Directiva de grupo. Contiene todos los objetos de Directiva de grupo del dominio.

  4. Haga clic con el botón secundario del mouse (ratón) en el objeto de Directiva de grupo que desea actualizar y seleccione Editar. El objeto de Directiva de grupo se abre en el Editor de objetos de Directiva de grupo. Esto hace que el objeto de Directiva de grupo se actualice con los últimos archivos .adm del equipo local. Este archivo .adm se replica, a continuación, en los controladores de dominio en todo el entorno.

  5. Abra cada uno de los objetos de Directiva de grupo que desee actualizar.

Para obtener una secuencia de comandos que realice esta tarea, visite el Centro de secuencias de comandos de TechNet: Repositorio de secuencias de comandos (en inglés).

Usar RSoP remoto en SP2 de Windows XP

Para la administración y solución de problemas de la Directiva de grupo, tendrá que comprobar periódicamente qué opciones de directiva se aplican a un usuario o equipo determinado. GPMC incluye la funcionalidad Conjunto resultante de directivas (RSoP, Resultant Set of Policy), que contiene lo siguiente:

  • Resultados de Directiva de grupo. Indican qué directivas se aplican a un usuario o equipo específico.

  • Modelos de directiva de grupo. Proporcionan un simulacro de cómo una opción de directiva planeada afectaría a un usuario o equipo específico.

En SP2, Firewall de Windows está habilitado de forma predeterminada. Como Firewall de Windows bloquea las peticiones entrantes no solicitadas, RSoP remoto no funcionará en los equipos de destino si no se modifica la configuración del servidor de seguridad. Para poder utilizar RSoP remoto, debe realizar varios pasos. Si ya utiliza GPMC, tal como se recomienda, estos pasos adicionales son mínimos. Los pasos se muestran en la Tabla 1.

Tabla 1 Configurar RSoP remoto en SP2 de Windows XP

Tarea

Equipo de destino

Equipo administrativo

Generar resultados de Directiva de grupo.

Habilite la opción de directiva Firewall de Windows: permitir excepción de administración remota. Esta opción de directiva se encuentra en Configuración del equipo\Plantillas administrativas\Red\Conexiones de red\Firewall de Windows\Perfil [de dominio | estándar]\.

  • GPMC con SP1:

  • No se requiere ninguna acción.

  • Complemento RSoP:

  • Habilite Firewall de Windows: definir excepciones de programa para permitir el uso de Unsecapp.exe. Deberá especificar la ruta de acceso completa.

  • Habilite la directiva Firewall de Windows: definir excepciones de puerto para abrir el puerto 135.

Delegar acceso a los resultados de Directiva de grupo

Habilite la opción de directiva Firewall de Windows: permitir excepción de administración remota.

Configure las siguientes opciones de directiva de seguridad de DCOM para permitir el acceso remoto al usuario, grupo o principal de seguridad integrado específico:

DCOM: restricciones de acceso del equipo en la sintaxis del lenguaje de definición de descriptores de seguridad (SDDL).

DCOM: restricciones de ejecución del equipo en la sintaxis del lenguaje de definición de descriptores de seguridad (SDDL).

Estas opciones de directiva se encuentran en Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones de seguridad.

No es necesario realizar ningún cambio.

Modificar de forma remota un objeto de Directiva de grupo local

Habilite la opción de directiva Firewall de Windows: permitir la excepción compartir impresoras y archivos.

Esta opción de directiva se encuentra en Configuración del equipo\Plantillas administrativas\Red\Conexiones de red\Firewall de Windows\Perfil [de dominio | estándar]\.

No es necesario realizar ningún cambio.

caution.gif  Precaución
Al habilitar Firewall de Windows: permitir excepción de administración remota, se abre RPC y DCOM, con lo que puede aumentar la vulnerabilidad del equipo de destino a los ataques de red.
Siempre que sea posible, es preferible abrir únicamente la excepción necesaria para una aplicación o servicio de administración determinado antes que habilitar la opción de directiva Firewall de Windows: permitir excepción de administración remota. Los administradores deben leer la documentación de la aplicación específica que desean ejecutar y buscar las recomendaciones sobre cómo trabajar con el servidor de seguridad. En la mayoría de los casos, la documentación de la aplicación (por ejemplo, MMC) incluye instrucciones sobre el puerto que debe abrirse.
Para obtener información detallada sobre la implementación de Firewall de Windows, consulte “Implementar la configuración de Firewall de Windows para el Service Pack 2 de Microsoft Windows XP” (en inglés) en el sitio Web de Microsoft en http://go.microsoft.com/fwlink/?LinkId=23277.

Administrar la replicación de archivos .ADM en el dominio

Cada objeto de Directiva de grupo se almacena en el recurso compartido Sysvol de cada controlador de dominio. De forma predeterminada, el archivo .adm se copia en cada objeto de directiva en la ruta de archivo:

%RAÍZSISTEMA%\sysvol\nombreDominio\Policies\POLICYGUID\Adm

SP2 contiene más de 600 opciones nuevas de plantillas administrativas, con lo que el tamaño total del conjunto predeterminado de plantillas administrativas asciende a más de 3 MB. Si se multiplica este tamaño por cada opción de directiva incluida en Sysvol, puede observarse la cantidad de espacio que se dedica a estas plantillas. Si le preocupa el tamaño de los controladores de dominio sysvol de su organización, podría ser conveniente controlar el modo en que se comportan los archivos .adm.

Para obtener más información, consulte el artículo 316977, “Comportamiento de la plantilla de directiva de grupo en Windows Server 2003”, en Microsoft Knowledge Base.

¿Te ha resultado útil?
(Caracteres restantes: 1500)
Gracias por sus comentarios
Mostrar:
© 2014 Microsoft