• Artículo

Centro de compatibilidad de

Novedades de la directiva de grupo para Windows 7 y Windows Server 2008 R2

Jeremy Moskowitz

 

Resumen:

  • Filtros para las Herramientas de administración remota del servidor (RSAT) actualizados
  • Objetos de directiva de grupo (GPO) automatizados que controlan Windows PowerShell
  • Interfaz de tabla para ADM y ADMX
  • GPO de inicio integrado y nuevas configuraciones de directivas

Contenido

Características principales de directiva de grupo actualizadas
Más allá de las características principales
Obtener más información

Me llegan correos electrónicos casi todos los días preguntándome, "¿qué se viene para Directiva de grupo en la nueva versión de Windows?" En esta pregunta, siento que desean conocer qué significarán las nuevas características y cambios para los profesionales de TI.

Sé que el cambio a veces puede ser estresante, pero puedo decir con total confianza que son todas buenas noticias: Se incluyen algunos cambios eficaces y ordenados de directiva de grupo en Windows 7 y Windows Server 2008 R2, pero nada demasiado radical o diferente. Los profesionales de TI se beneficiarán de algunas actualizaciones, algunas características nuevas y algunos ajustes de interfaz de usuario, por ejemplo, pero sin dolores de cabeza asociados con empinadas curvas de aprendizaje.

Los cambios de directiva de grupo pueden dividirse en dos amplias categorías. La primera son los elementos que entrega el equipo de directivas de grupo: funcionalidades principales, incluidos el motor de directiva de grupo y características nuevas y actualizadas en el sistema de edición de directivas de grupo (Consola de administración de directivas de grupo, o GPMC y el Editor de administración de directivas de grupo o GPME). La segunda son los elementos que proporcionan otros equipos para administrar sus componentes utilizando la Directiva de grupo: las configuraciones de directivas actualizadas y los controles de características dentro de GPME que utilizamos todos para administrar las funciones nuevas y actualizadas en nuestros equipos de destino. En este artículo, trataré ambos tipos de cambios.

Características principales de directiva de grupo actualizadas

Para Windows 7 y Windows Server 2008 R2, el equipo de directivas de grupo ha alcanzado el éxito con una colección de características y actualizaciones. Éste es el desglose poco científico de lo que se entrega en la actualización más reciente de Windows: una corrección importante, una actualización importante, una nueva característica importante, un cambio de interfaz de usuario importante y una adición de fábrica importante.

La corrección importante: Filtros actualizados

Los filtros actualizados en la GPMC actualizada (disponible para Windows 7 y Windows Server 2008 R2) son cambios que suponen una mejora. Las correcciones resuelven un error que ha estado presente desde Windows Vista. En la Figura 1, puede ver una de mis características favoritas que ha estado disponible desde la GPMC actualizada, incluida dentro de las Herramientas de administración remota del servidor (RSAT): el cuadro de diálogo Opciones de filtro.

fig1.gif

Figura 1 cuadro de diálogo Opciones de filtro. (Haga clic en la imagen para aumentarla)

El trabajo de la RSAT es sencillo: le permite utilizar un equipo con Vista (o posterior) para controlar distintos aspectos de la red desde el equipo que utiliza y proporciona las herramientas que necesita para ello, incluyendo la GPMC actualizada. Esta GPMC actualizada tiene algunas características ordenadas; una de ellas es la capacidad de utilizar filtros para definir los criterios que desea utilizar para buscar sólo la configuración de directiva de grupo de plantillas administrativas que desee. El problema era que cuando salió Vista y su correspondiente RSAT, los filtros no funcionaban, un error que sufrían muchos administradores.

Voy a explicar el error con un poco más detalle. La Figura 1 muestra la sección Habilitar filtros de requisitos del cuadro de diálogo Filtros. El objetivo de esta sección es simple: ayudarle a averiguar qué configuración de directiva de Plantillas administrativas es válida para los sistemas operativos específicos.

Un modo dentro de Habilitar filtros de requisitos es "Incluir la configuración que coincide con todas las plataformas seleccionadas". El otro es "Incluir la configuración que coincide con alguna de las plataformas seleccionadas". A simple vista, los dos modos parecen muy similares. Pero la diferencia entre "todas" y "alguna" es importante. Aquí está lo que cada modo debería hacer después de seleccionarlo y especificar algunos criterios:

  • "Incluir la configuración que coincide con todas las plataformas seleccionadas" debe mostrar la configuración de directivas válida sólo en los tipos de equipos especificados. Por lo tanto, si selecciona Windows XP Service Pack (SP) 2 y Vista, el resultado debería ser la configuración de directiva que sólo funciona en Windows XP SP2 y Vista.
  • "Incluir la configuración que coincide con alguna de las plataformas seleccionadas" debería mostrar las configuraciones que aplican a alguno de los sistemas operativos seleccionados. Por lo tanto, si selecciona Windows XP SP2 y Vista, todas las opciones que se aplican a Windows XP SP2 y todas las que se aplican a Vista deben mostrarse.

Estos filtros son tan útiles como válidos. El único problema es que con la versión de Vista y Windows Server 2008 de RSAT, ninguno de ellos funcionaba correctamente. Si seleccionaba "Incluir la configuración que coincide con todas las plataformas seleccionadas" el resultado a menudo era una fracción simple de las configuraciones válidas que eran realmente aplicables a los equipos de destino. Y si seleccionaba "Incluir la configuración que coincide con alguna de las plataformas seleccionadas" nunca se mostraba ningún resultado.

De acuerdo con mis amigos en el equipo de directivas de grupo, esta corrección debería ser parte de la versión descargable final de RSAT para Windows 7 y la RSAT de fábrica para Windows Server 2008 R2.

La actualización importante: Implementar secuencias de comandos de Windows PowerShell en equipos de destino

A menos que esté viviendo bajo una piedra, sabrá que Windows PowerShell está ganando popularidad entre los administradores de sistemas. Pero un problema ha impedido a algunos administradores la adopción de PowerShell. No ha habido una forma sencilla para que puedan aprovechar su recién descubierta fuerza de PowerShell sobre un área en la que necesitan el máximo control: las secuencias de comandos de usuario y equipo.

RSAT en Windows 7 y Windows Server 2008 R2 permite a los administradores especificar secuencias de comandos de PowerShell como secuencias de comandos de inicio de sesión o de cierre de sesión (para el usuario) y de inicio o apagado (para el equipo). La Figura 2 muestra el cuadro de diálogo Propiedades de inicio en el GPME, en donde el administrador puede especificar el orden en que se ejecutan las secuencias de comandos PowerShell y también qué tipo de secuencias de comandos debe ejecutarse primero: las secuencias de comandos de PowerShell o las secuencias de comandos que no son de PowerShell (que no aparecen pero se encuentran en la ficha Secuencias de comandos en el cuadro de diálogo Propiedades de inicio).

fig2.gif

Figura 2 Ficha Secuencias de comandos de Windows PowerShell en el cuadro de diálogo Propiedades de inicio. (Haga clic en la imagen para aumentarla)

Para utilizar esta característica, deberá crear o editar los Objetos de directiva de grupo (GPO) de un equipo con Windows 7 o Windows Server 2008 R2 con las herramientas RSAT correspondientes (que contienen una GPMC actualizada compatible con esta nueva funcionalidad). Además, el equipo de destino debe contener Windows 7 o Windows Server 2008 R2 para que se ejecuten las secuencias de comandos de PowerShell. Los equipos antiguos (incluso con PowerShell cargado) no son destinos válidos y no ejecutan las secuencias de comandos de inicio de sesión, cierre de sesión, inicio o apagado de Power­Shell. Algunas soluciones de terceros que pueden implementar secuencias de comandos de PowerShell en equipos que no tienen Windows 7 están disponibles si necesita esta capacidad.

La función importante: Manipular las configuraciones de registro con los Cmdlets de PowerShell

A muchos de los administradores de sistema les gusta automatizar su mundo. Esto es bueno. De hecho, puede pensar en aprovechar la directiva de grupo en su entorno como automatización masiva de los equipos cliente (para que no tenga ejecutar ni presionar botones). Para llevar la administración al siguiente nivel, quizás desee automatizar el control de sus propios GPO.

Algunos administradores han aprovechado las secuencias de comandos de GPMC para automatizar las tareas clave de directivas de grupo.

Windows 7 y Windows Server 2008 R2 permiten usar PowerShell para realizar muchas de estas funciones. Lo que era posible en las secuencias de comandos de ejemplo de GPMC ahora es posible con el uso de PowerShell: crear, vincular, cambiar el nombre, realizar copias de seguridad, copiar y eliminar GPO, y mucho más.

La capacidad para configurar el contenido de un GPO con un método de secuencias de comandos, sin embargo, es totalmente nueva y ahora está disponible sólo al utilizar PowerShell como método de secuencias de comandos. Antes de que se emocione demasiado, debo mencionar que no todas las 39 áreas de la directiva de grupo admiten secuencias de comandos. De hecho, sólo son dos: Directiva de registro y Preferencias de registro. Aún así, es un magnífico inicio.

En la Figura 3, puede ver cómo utilizo el Power­Shell integrado en Windows 7 instalando primero los cmdlets específicos de directiva de grupo mediante el comando import-module grouppolicy y, a continuación, creando un GPO nuevo con el cmdlet new-gpo.

fig3.gif

Figura 3 Crear un nuevo GPO utilizando cmdlets de Directiva de grupo integrados en Windows 7. (Haga clic en la imagen para ampliarla)

El blog del equipo de directiva de grupo tiene una serie de elementos relacionados con la integración de Windows PowerShell. Puede ver todos ellos de una sola vez consultando el Blog del equipo de directiva de grupo.

El cambio de interfaz de usuario importante: Interfaz de usuario de ADM y ADMX actualizadas

Uno de los cambios de directiva de grupo más sorprendente está en la sección Plantillas administrativas del GPME.

Una nueva interfaz de "tabla", que se muestra en la Figura 4, pone todo el contenido que necesita para crear nuevas configuraciones de directivas o manipular las existentes en una página de servicios integrados.

fig4.gif

Figura 4 Firewall de Windows: cuadro de diálogo Permitir excepciones ICMP. (Haga clic en la imagen para aumentarla)

Los administradores ahora pueden configurar una opción de directiva como No configurada, Habilitada o Deshabilitada, realizar comentarios acerca de una configuración de directiva, ver la información sobre compatibilidad, ver la Ayuda (Explaintext) y manipular los valores configurables dentro de Opciones.

El objetivo de este cambio es hacer que la experiencia de configuración de directivas sea más intuitiva, integrar la ayuda y eliminar todas las fichas para que los administradores no tengan que hacer clic de un lugar a otro nunca más.

La adición de fábrica importante: GPO de inicio integrados

En primer lugar la capacidad para crear y utilizar los GPO de inicio estuvieron disponibles en la versión de Vista de la GPMC. La idea detrás de un GPO de inicio es que un administrador pueda crear un punto de partida para que utilicen otros administradores al crear sus GPO. La arquitectura y las funcionalidades fundamentales no han cambiado mucho en esta nueva actualización, pero hay una nueva distinción que es muy notable.

Específicamente, cuando utiliza un equipo con Windows 7 o Windows Server 2008 R2 para crear el contenedor del GPO de inicio, el contenedor se rellena automáticamente con algunos GPO de inicio integrados. Estos GPO de inicio siguen las prácticas recomendadas de Microsoft y se asignan a la Guía de seguridad de Windows Server 2008. Por ejemplo, uno de estos GPO de inicio integrados es para un Cliente empresarial (EC) promedio y otro, con un enfoque más bloqueado, se llama Funcionalidad limitada de seguridad especializada (SSLF).

Windows 7 y Windows Server 2008 R2 incluyen GPO de inicio para el lado del usuario y del equipo. Estos GPO de inicio creados por Microsoft también están disponibles (en una forma ligeramente más antigua) para Vista y Windows XP SP2.

Más allá de las características principales

Ahora hablemos sobre algunas de las áreas de control adicional que obtendrá al trabajar con Windows 7 o Windows Server 2008 R2 como un cliente. Y cuando digo "cliente" aquí, significa "el equipo que recibe instrucciones de Directiva de grupo" (incluso si es un equipo con Windows Server 2008 R2).

Una gran adición son las aproximadamente 300 nuevas configuraciones de directiva, de las cuales 90 más o menos, están diseñadas sólo para Internet Explorer 8 (que está disponible para equipos con Vista y Windows XP). Otros cambios incluyen la administración de configuraciones nueva y actualizada para BitLocker, BitLocker To Go, una barra de tareas actualizada, Servicios de escritorio remoto (que solía llamarse Servicios de Terminal Server), BranchCache, Administración remota de Windows (WinRM) y montones de otros controles. No podré explorar todos los controles nuevos en este artículo, pero le daré una visión personal y detallada de algunos de mis favoritos.

Preferencias de directiva de grupo actualizadas para Opciones de energía

Uno de los motivos claves por los que a los expertos en TI les encanta la Directiva de grupo es la cantidad de control que permite ejercer en los escritorios. Cuando el enfoque principal de la Directiva de grupo es la entrega de configuraciones, sin embargo, estos expertos en TI, fanáticos del control, a veces tienen dificultades para explicar a los administradores por qué la Directiva de grupo tiene valor cuando se trata de "usar el dinero con sentido común". En un área de la Directiva de grupo, sin embargo, se pueden prometer ahorros reales (si se utiliza correctamente): configuración de la energía.

Configurando correctamente la configuración de energía de escritorios y equipos portátiles, los administradores de TI normalmente pueden ahorrar para sus empresas miles de dólares anuales. Directiva de grupo hace fácil dicha configuración.

La Figura 5 muestra las opciones de energía disponibles en la GPMC de Windows 7 (y Windows Server 2008 R2).

fig5.gif

Figura 5 Cuadro de diálogo Propiedades del nuevo plan de energía (Windows Vista y versiones posteriores). (Haga clic en la imagen para aumentarla)

Examine atentamente el título del cuadro de diálogo en la Figura 5. Observará que indica Propiedades del nuevo plan de energía (Vista y versiones posteriores). Es decir, estos valores son válidos para Vista y Windows 7. Ésta es la advertencia: Los equipos cliente con Windows 7 y Windows Server 2008 R2 sabrán qué hacer con estas directivas inmediatamente; Vista no lo hará. Vista simplemente pasará por alto las directivas (incluso aunque la característica esté claramente etiquetada como Windows Vista y versiones posteriores). Eso es porque Vista necesita una actualización que se publicará pronto de las extensiones de cliente de sus preferencias de Directiva de grupo subyacentes. Una vez disponible y aplicado, los equipos con Vista adoptarán estas directivas recientemente disponibles.

Preferencias de directiva de grupo actualizadas para tareas programadas

Similar a la configuración actualizada del Plan de energía que acabo de mencionar es la funcionalidad adicional de programación de tareas dentro de la GPMC en Windows 7 y Windows Server 2008 R2. La Figura 6 muestra las opciones nuevas para programar tareas: Tarea programada (Windows Vista y versiones posteriores) y Tarea inmediata (Windows Vista y versiones posteriores).

fig6.gif

Figura 6 Nuevas opciones de programación de tareas de GPMC en Windows 7. (Haga clic en la imagen para ampliarla)

Como con la configuración del Plan de energía, los equipos con Windows 7 están listos para usar estas configuraciones. Los equipos con Vista tendrán que esperar una actualización que permita utilizar estas configuraciones.

Directivas de restricción de software actualizadas: AppLocker

El nombre subyacente para AppLocker es Directivas de restricción de software versión 2 o SRPv2. En la interfaz de Directiva de grupo (y en la documentación), sin embargo, verá esta nueva característica denominada simplemente AppLocker.

Brevemente, el objetivo de AppLocker es ayudar a las organizaciones de TI modernas a dictar qué software deberían y no deberían ejecutar en sus equipos con Windows 7 (y versiones posteriores). Las Directivas de restricción de software originales (SRP) hicieron un trabajo aceptable, pero AppLocker lleva las restricciones de software al próximo nivel. Una nueva capacidad clave de AppLocker consiste en permitir o restringir software según el fabricante del software. Para aprovechar esta nueva característica, el software que desee permitir o restringir debe estar firmado digitalmente (para obtener más información sobre AppLocker, vea la columna Geek of All Trades de Greg Shields, en donde se pregunta si AppLocker es la primera panacea de TI).

A continuación, mediante el cuadro de diálogo Crear reglas ejecutables, puede establecer las reglas para editores varios. Por ejemplo, puede crear una regla que especifique que está bien ejecutar Adobe Reader mientras la versión sea 9.0 o posterior. Se puede mover el control deslizante vertical para especificar que todas las versiones, nombres de archivo, o productos o editores pueden ser válidos en sistemas de destino. O puede ser específico con la casilla de verificación Utilizar valores personalizados.

Obtener más información

Como puede ver, Windows 7 y Windows Server 2008 R2 proporcionarán gran cantidad de mejoras de Directiva de grupo. Desde las 300 nuevas configuraciones de directiva, pasando por las dos preferencias de directiva de grupo actualizadas y la integración de Windows PowerShell, hay mucho para hacer. Para obtener más información acerca de Directiva de grupo en Windows 7 y Windows Server 2008 R2, puede visitar el blog del equipo de directiva de grupo, así como mi blog y mis recursos de formación en GPanswers.com.

Jeremy Moskowitz es MVP en Directivas de grupo. Dirige GPanswers.com, un foro comunitario para la Directiva de grupo y entrena a cientos de administradores cada año en sus Clases de directiva de grupo avanzada. Jeremy también es fundador de PolicyPak Software (PolicyPak.com), que forma un complemento innovador para controlar las aplicaciones de terceros mediante Directiva de grupo.