• Artículo

Windows Vista

Directivas de grupo más eficaces en Windows Vista

Jeremy Moskowitz

 

Resumen:

  • Infraestructura de directivas de grupo
  • Reconocimiento de red mejorado
  • Capacidades de directivas de grupo agregadas

Windows Vista ofrece una actualización sustancial para la infraestructura de las directivas de grupo. Sin embargo, mientras organizaciones en todo el mundo implementan Windows Vista, probablemente muchos administradores no observarán gran diferencia en su modo de trabajar, porque los numerosos cambios en las funciones de directivas de grupo

tienen lugar de forma subyacente. Lo que los administradores verán, sin embargo, es que la directiva de grupo de Windows Vista™ es mucho más eficaz de lo que era en versiones anteriores.

Antes de Windows Vista, el procesamiento de directivas de grupo se realizaba dentro de un proceso llamado Winlogon. Winlogon tenía mucha responsabilidad, lo que incluía posibilitar el inicio de sesión de las personas en sus escritorios, así como mantener las distintas tareas de directivas de grupo. La directiva de grupo es ahora un servicio propio de Windows®. Y lo que es más, está reforzada, lo que significa que ni se puede detener ni un administrador puede asimilar la propiedad de los permisos relacionados con la directiva de grupo para desactivarla después. Estos cambios mejoran la confiabilidad general del motor de directiva de grupo.

Esto es sólo para comenzar. Centrémonos más detenidamente en algunos de los cambios principales que se han realizado en las directivas de grupo.

Reconocimiento de redes mejorado

Antes de Windows Vista, el motor de directiva de grupo intentaba determinar si el usuario tenía acceso con una conexión lenta o rápida. A continuación, usaba esta información para ayudar a decidir qué configuración de directiva aplicar. Con una conexión lenta, la directiva de grupo no enviaba la totalidad de la configuración de directiva al sistema, ya que tardaría mucho tiempo en descargarse. Esta asistencia no se ha eliminado de las nuevas directivas de grupo. Sin embargo, lo que ha cambiado es el modo en que se calcula el ancho de banda de la red actual.

Esta determinación de velocidad se realizó mediante el envío de paquetes de ping del Protocolo de mensajes de control de Internet (ICMP) para controladores de dominio. Esta medida daba muchos problemas en el uso real. En primer lugar, muchos administradores desactivaban ICMP en sus enrutadores. En segundo lugar, si la conexión era a través de vínculos de alta latencia (como un satélite), los cálculos no eran confiables. En estas situaciones, el motor de directiva de grupo no tenía un modo garantizado de determinar si la conexión era realmente rápida o no.

Además, el motor de directiva de grupo no sabía si el equipo se restauraba tras el modo de hibernación o de espera. La directiva de grupo tampoco podía saber si el usuario se conectaba de repente después de haber estado seis meses desconectado de la red. Con un equipo que ejecutara Windows XP o Windows 2000, un usuario podía conectarse, leer su correo electrónico y desconectarse, todo ello sin obtener una actualización de la directiva de grupo. La mayoría de los administradores querían actualizar la directiva de grupo, de ser necesario, en un sistema restaurado tras el modo de hibernación o de espera o en un equipo que se conectaba tras una larga ausencia.

La directiva de grupo de Windows Vista actualizada es suficientemente inteligente para detectar la conectividad de red en tiempo real. El cambio principal es que el motor de directiva de grupo usa ahora el controlador de Network Location Awareness 2.0 (NLA) en Windows Vista. El servicio de reconocimiento de ubicación de red (NLA) alerta al motor de directiva de grupo cuando hay un controlador de dominio disponible. Si lo hay, se realiza una actualización de la directiva de grupo si es necesario.

Varios GPO locales

Antes de Windows Vista, sólo era compatible un objeto de directiva de grupo (GPO) local. Si escribía GPEDIT.MSC en un símbolo del sistema y realizaba algunos cambios en la configuración, afectaba a todos los usuarios y administradores que usaban el equipo. Esto era un problema si quería, por ejemplo, eliminar el comando Ejecutar del menú Inicio de los usuarios habituales y mantenerlo disponible para los administradores.

La nueva utilidad Multiple Local GPO aborda este problema usando capas de GPO. Es probable que esta capacidad se use mayoritariamente en sistemas que no están unidos a un dominio de Active Directory. Sin embargo, es posible que los usuarios corporativos también encuentren útil esta característica.

La nueva utilidad Multiple Local GPO, que se basa en capas, puede ser un poco complicada (consulte la figura 1). Todavía hay un GPO local predeterminado que se aplica al contexto del sistema del equipo local y afecta a todos los usuarios del sistema. Este GPO define la configuración de equipo y la configuración de usuario.

Figure 1 Directiva de grupo local total de usuarios

Figure 1** Directiva de grupo local total de usuarios **

La segunda capa afecta a los miembros del grupo de administradores del sistema local o a los no administradores. Por definición, una cuenta de usuario no puede estar en ambos grupos. La capa determina si el usuario es un administrador de sistema local o un usuario normal y, a continuación, aplica el GPO correspondiente (Administrador o No administrador). La tercera capa afecta a una cuenta de usuario de sistema local designada específicamente.

Así que son tres GPO locales posibles que pueden afectar a cualquier usuario concreto que usa el equipo. Por ejemplo, puede usar las tres capas para proporcionar una configuración para todas las personas que usan un equipo concreto, más configuraciones que afectan sólo a los no administradores y, por último, una configuración que afecta sólo a un usuario del mismo equipo.

Si el sistema se ha unido a un dominio de Active Directory®, los objetos de directiva de grupo de Active Directory tienen prioridad sobre las directivas locales. También conviene mencionar que los administradores del dominio pueden elegir desactivar el procesamiento de todos los GPO locales para Windows Vista.

Mensajes de error y solución de problemas

Windows Vista tiene un sistema de registro de sucesos totalmente nuevo. El motor de directiva de grupo usa el nuevo sistema Windows Eventing 6.0 (normalmente conocido como registro de sucesos) y divide los sucesos en dos registros. El conocido registro de sistema (que ahora se muestra como un registro administrativo) contiene problemas de directiva de grupo. Si hay algún problema con el motor de directiva de grupo, debería aparecer en el registro de sistema, mostrado como proveniente del servicio de directiva de grupo (no del proceso Userenv).

Un nuevo registro de servicios y aplicaciones (que es un registro operativo) corresponde específicamente a la directiva de grupo y almacena los sucesos operativos. Esto reemplaza esencialmente el complicado archivo de solución de problemas userenv.log, ya que se muestra cada paso del motor de la directiva de grupo para una lectura fácil.

ADM y ADMX

Desde los tiempos de Windows NT® 4.o, los archivos ADM han proporcionado las plantillas de definiciones subyacentes para lo que es posible en la directiva de grupo. Los archivos ADM no controlan todo lo que ocurre en la directiva de grupo, pero son responsables de todos los extras ubicados en Configuración de usuario | Plantillas administrativas y en Configuración del equipo | Plantillas administrativas.

En la práctica, estos archivos ADM tienen algunos defectos. En versiones de Windows anteriores a Windows Vista, siempre que se crea un GPO nuevo, se copia una gran cantidad de estos archivos ADM en todas las carpetas del GPO (ubicadas en SYSVOL) con una distribución de unos 5 MB por GPO. Con muchos GPO, hay muchos archivos de plantillas de sistemas duplicados ubicados en SYSVOL y esto crea mucha replicación desde cada uno de estos grupos de 5 MB.

Además, los archivos ADM no son independientes del idioma. Un archivo ADM se crea en un idioma y todo el que use dicho archivo tiene que adaptarse al idioma elegido.

La directiva de grupo en Windows Vista soluciona estos problemas con la introducción de un nuevo formato basado en XML para los archivos de definición de directiva denominados ADMX. Los archivos ADMX son independientes del idioma. Sin embargo, deben estar acompañados de un archivo ADML específico del idioma. Puede agregar más idiomas fácilmente simplemente agregando más archivos ADML que acompañen al archivo ADMX.

El formato ADMX es compatible con un almacén central. Esto elimina la información duplicada de la replicación y facilita la actualización de un archivo ADMX. Supongamos que se actualiza un archivo ADMX, quizá desde un Service Pack: todo lo que debe hacer es colocar el archivo actualizado en el almacén central y listo. Todos los administradores de directiva de grupo del dominio que están usando estaciones de trabajo con Windows Vista tendrán acceso al archivo ADMX actualizado. Anteriormente, era necesario comprobar que el equipo de cada uno de los administradores tuviera la copia correcta de cualquier archivo ADM actualizado y esto suponía un reto en el mejor de los casos.

Un administrador de dominio debe crear el almacén central en SYSVOL manualmente, una vez para cada dominio de Active Directory. Una vez creado el almacén central, todos los administradores que usen los equipos con Windows Vista para crear y administrar los GPO usarán automáticamente el almacén central. Tenga en cuenta que ésta es una característica específica de Windows Vista y que es el equipo con Windows Vista vinculado a un dominio de Active Directory el que comprueba la presencia de un almacén central. No es necesario esperar a la próxima versión de Windows Server®, cuyo nombre en código es "Longhorn," ni convertir los equipos de usuario a Windows Vista. Esto ocurre con independencia de que el dominio esté basado en Windows Server Longhorn, Windows Server 2003 o Windows 2000. Para aprovechar el almacén central, sólo tiene que crearlo y luego usar los equipos con Windows Vista para crear o administrar los GPO.

Como se ha mencionado, los archivos ADMX y ADML están basados en XML. La principal ventaja de XML es el uso de un lenguaje estándar del sector. Cabe señalar, sin embargo, que no existe ningún editor gráfico de ADMX (ni ningún plan de lanzar uno por parte de Microsoft). Tampoco hay ninguna herramienta de conversión de ADM a ADMX para las plantillas de ADM personalizadas que pueda tener.

Windows Vista se distribuirá con alrededor de 130 archivos ADMX que reemplazarán a los 6-8 archivos ADM que se incluían con las versiones anteriores de Windows. Estos archivos se encuentran en el directorio \Windows\PolicyDefinitions, como se muestra en la figura 2. Tenga en cuenta que los archivos ADML se almacenan en subdirectorios específicos de idioma, como el directorio en-US para inglés de Estados Unidos.

Figure 2 Archivos ADMX en el directorio \Windows\PolicyDefinitions

Figure 2** Archivos ADMX en el directorio \Windows\PolicyDefinitions **(Hacer clic en la imagen para ampliarla)

Consola de administración de directivas de grupo

La Consola de administración de directivas de grupo, o GPMC, estaba disponible como descarga para Windows XP y Windows Server 2003. GPMC de Microsoft Management Console, que se podía ejecutar con secuencias de comandos, ofrecía una única herramienta administrativa para la administración de directivas de grupo.

Ahora GPMC está integrada en Windows Vista. Esto significa que siempre que se desee crear o editar un GPO, tendrá fácil acceso a la mejor herramienta para llevar a cabo esta tarea. Simplemente tiene que escribir GPMC.MSC en el símbolo del sistema Inicio | Buscar de Windows Vista.

Nuevo material de control

Windows Vista incluye en torno a 800 nuevos parámetros de configuración de directiva a la tabla. Se encuentran en varias categorías, muchas de las cuales ya conoce y usa. No obstante, Windows Vista presenta también algunas categorías nuevas excelentes, que simplemente no habían existido o no se incluían en los controles de directivas de grupo.

Las áreas mejoradas en las directivas de grupo incluyen directiva de conexión en red inalámbrica y con cable, Firewall de Windows e IPsec, administración de impresión, shell de escritorio, asistencia remota y Tablet PC. Tenga en cuenta que las directivas de conexión inalámbrica y con cable pueden requerir una actualización de esquema en todo el bosque (para obtener más información sobre este tema, consulte microsoft.com/technet/itsolutions/network/wifi/vista_ad_ext.mspx, que puede estar en inglés).

Las nuevas áreas de directivas de grupo de Windows Vista incluyen administración de dispositivos de almacenamiento extraíbles, administración de energía, control de cuentas de usuario, informe de errores de Windows, protección de acceso a redes y Windows Defender.

Para controlar las áreas que específicamente afectan a los equipos de Windows Vista, debe usar un equipo con Windows Vista (o un equipo con Windows Server "Longhorn") al crear o editar los GPO. Esto se debe a que los sistemas operativos anteriores no reconocerán estos nuevos parámetros de configuración específicos de Windows Vista.

El análisis de alguna de estas áreas ocuparía todo un artículo, por lo que no contamos con espacio suficiente aquí para centrarnos en cada una de ellas. Sin embargo, las características de la administración de dispositivos de almacenamiento extraíbles y de la administración de energía (que se muestran en la figura 3) son de particular interés. En mi opinión, estas características serán de enorme ayuda para todos los administradores. A modo de resumen, estas áreas ofrecen un control granular aceptable con respecto a qué dispositivos se pueden conectar a Windows Vista y qué tipo de configuración de energía tendrán los equipos portátiles, de escritorio y los monitores para que las compañías ahorren dinero.

Figure 3 Reforzamiento de la administración de energía a través de una directiva de grupo

Figure 3** Reforzamiento de la administración de energía a través de una directiva de grupo **(Hacer clic en la imagen para ampliarla)

Con la configuración de administración de energía adicional de Windows Vista, el administrador puede elegir si desea desactivar o poner un monitor de vídeo inactivo en el modo de "suspensión" de bajo consumo. Estudios publicados en el sitio Web de Energy Star de la Agencia de Protección Ambiental de EE.UU. han demostrado que el control de la energía de los monitores puede suponer un ahorro de entre 10 y 30 dólares estadounidenses por monitor al año. Este ahorro puede interesar realmente si se cuenta con cientos o miles de monitores en la compañía.

Con respecto a la Administración de almacenamiento de medios extraíbles, considere el siguiente escenario: un administrador desea permitir a los estudiantes usar sus unidades flash USB para tener acceso a sus trabajos, tareas u otros documentos en una estación de trabajo de quiosco de un campus. Sin embargo, a causa del posible mal uso y de los riesgos de seguridad potenciales, los estudiantes no tendrán acceso de escritura a las unidades USB en la estación de trabajo de quiosco del campus (a menos que, naturalmente, se trate de una unidad USB autorizada por el centro). Este tipo de granularidad de administración de dispositivos es posible gracias a la configuración de directivas de grupo de Windows Vista.

Conclusión

Como puede observar, las mejoras de administración de Windows Vista se producen de forma subyacente. Los administradores descubrirán que las directivas de grupo de Windows Vista ofrecen una administración de configuración flexible y eficaz con un aumento considerable de los parámetros configurables y nuevos recursos para aumentar la seguridad del sistema (y reducir potencialmente los costos).

El futuro de las directivas de grupo

Las características que se describen en este artículo constituyen aproximadamente lo que podrá encontrar en Windows Vista. No obstante, el equipo de directivas de grupo ya está pensando cuál será el siguiente paso en perspectiva. Probablemente, las características de directivas de grupo adicionales estarán disponibles en el marco de Windows Server "Longhorn". Y aunque estas características no se incluirán inicialmente en Windows Vista, es probable que estén disponibles para Windows Vista a través de un Service Pack o algún otro complemento. Por lo tanto, aunque estas próximas características están sujetas a cambios, hay tres áreas principales de mejoras en el futuro. Y, para no andar con rodeos, ninguna de estas características necesitará Windows Server "Longhorn" para funcionar.

Comentarios Una de las características que se suelen solicitar es la capacidad de agregar comentarios sobre la función de cada GPO o sobre la supuesta función de un parámetro de configuración de directiva de grupo específico. Actualmente, la única forma de realizar comentarios es manteniendo un seguimiento de los GPO y la configuración, por ejemplo, en una hoja de cálculo y realizar los comentarios en ella. La capacidad de introducir comentarios será una característica adicional bienvenida.

Plantillas A veces un administrador desea ofrecer a otros administradores un punto de partida para crear sus propios GPO. Las plantillas de directivas de grupo ofrecerán esta posibilidad. Con una plantilla, un administrador podrá crear su propio GPO personalizado. Probablemente, Microsoft agregará escenarios comunes al conjunto inicial de plantillas y ofrecerá instrucciones específicas de control de los distintos tipos de equipos. Para obtener más información sobre este tema, consulte Common Scenarios documentation and files (puede estar en inglés).

Búsqueda y filtros A veces parece que tenemos un millón de parámetros de configuración de directivas y es muy difícil encontrar el parámetro concreto que necesitamos. Afortunadamente, las nuevas funciones de búsqueda facilitarán las búsquedas en los títulos, el texto explicativo y los comentarios de configuración de directivas. También podrá ver de una sola vez los parámetros de configuración de directivas que están habilitados o deshabilitados en un GPO, lo que facilita los cambios rápidos en un GPO que se comporte incorrectamente.

Para enviar solicitudes de características adicionales de directivas de grupo, visite el portal Windows Server Feedback en windowsserverfeedback.com.

Jeremy Moskowitz, ingeniero de sistemas de Microsoft (MCSE) y MVP en directivas de grupo, dirige GPanswers.com, un foro comunitario sobre directivas de grupo. También se encarga de un curso de aprendizaje intensivo de dos días sobre directivas de grupo. Su último libro es Group Policy, Profiles and Intelli­Mirror, Third Edition (Sybex, 2005). Póngase en contacto con Jeremy Moskowitz en www.GPanswers.com. Gracias a Mark Lawrence, del equipo de directivas de grupo de Microsoft, por su ayuda con este artículo.

© 2008 Microsoft Corporation and CMP Media, LLC. Reservados todos los derechos; queda prohibida la reproducción parcial o total sin previa autorización.