¡Acceso ilimitado 24/7 a todos nuestros libros y vídeos! Descubra la Biblioteca Online ENI. Pulse aquí
¡Acceso ilimitado 24/7 a todos nuestros libros y vídeos! Descubra la Biblioteca Online ENI. Pulse aquí
  1. Libros
  2. Windows Server 2016
  3. Reparar las directivas de grupo
Extrait - Windows Server 2016 Las bases imprescindibles para administrar y configurar su servidor (2ª edición)
Extractos del libro
Windows Server 2016 Las bases imprescindibles para administrar y configurar su servidor (2ª edición) Volver a la página de compra del libro

Reparar las directivas de grupo

Contenedor de directivas de grupo

La información relativa a las directivas de grupo se reparte en dos contenedores:

  • El GPC (Group Policy Container), que permite almacenar propiedades como el número de versión, el estado o los filtros WMI. Se almacena en el directorio Active Directory.

  • El GPT (Group Policy Template), que contiene los distintos parámetros (seguridad, scripts y parámetros ligados al registro). Trabaja con los tipos de archivo adm o admx. Este contenedor se encuentra en la carpeta SYSVOL.

Ambos contenedores se almacenan en lugares distintos (AD y SYSVOL), de modo que la replicación utiliza dos sistemas diferentes. El GPC almacenado en Active Directory se replica con este último. El GPT utiliza, en sí mismo, el sistema de replicación FRS (replicación de archivos) para replicarse. Pueden aparecer problemas en uno u otro sistema de replicación, lo que genera eventualmente datos incoherentes entre ambos.

Uso de la herramienta GPOTool

Esta herramienta, que permite realizar la verificación de una directiva de grupo, está disponible desde Windows 2000. La coherencia de las GPO entre los contenedores GPC y GPT también puede comprobarse mediante esta herramienta.

Esta última es gratuita y puede descargarse con las Resource Kit Tools para Windows Server 2003.

No obstante, si el sistema operativo ejecutado es Windows Server 2008 o superior, es posible descargar el ejecutable por línea de comandos visitando directamente el blog personal del autor (en francés): http://www.nibonnet.fr/?p=272

 Descargue el ejecutable y cópielo en la raíz de la partición C.

 Abra una ventana de comandos DOS y, a continuación, escriba cd /.

La instrucción permite seleccionar la raíz de la partición.

 Escriba el comando gpotool ad1 /verbose.

images/CAP14_Pag_2_ES.PNG

Es, por lo tanto, fácil comprobar un eventual problema de replicación. En caso de error en la replicación, será preciso utilizar los registros de eventos para intentar detectar el origen del problema.

Conjunto resultante de directivas

El conjunto resultante de directivas (RSoP, Resultant Set of Policy) permite elaborar informes sobre los distintos parámetros de las directivas de grupo aplicadas a un usuario o a un equipo. Estos informes pueden crearse mediante la consola de Administración de directivas de grupo (GPMC - Group Policy Management Console) o mediante el comando gpresult. Los datos del conjunto resultante se extraen del equipo indicado y se presentan en un informe con formato HTML.

Existen varios escenarios que pueden requerir la resolución de algún problema, como una directiva que no se aplica correctamente o parámetros que se aplican pero que son completamente incoherentes.

En primer lugar, es importante verificar la conectividad de red mediante el comando ping, que permite asegurar la respuesta del controlador de dominio a nivel IP. Una vez validada esta etapa, debe comprobarse la resolución de nombres DNS mediante el comando nslookup.

Si ambas comprobaciones se resuelven con éxito, deben utilizarse herramientas tales como el registro de eventos (registros Sistema, Aplicación y Group Policy) o el conjunto resultante de directivas.

1. Uso del comando RSoP

 En el puesto cliente CL10-01, abra una sesión como nbonet.

 Abra una Consola MMC y agregue el componente Conjunto resultante de directivas.

images/14RI02.png

 Haga clic con el botón derecho en el nodo Conjunto resultante de directivas y, a continuación, seleccione Generar datos RSoP.

 Se ejecuta el asistente. Haga clic en Siguiente.

Existen dos modos de uso:

  • Modo de registro, que permite verificar la configuración...

Operaciones de mantenimiento en la infraestructura

La configuración de una directiva de grupo puede tomar cierto tiempo. Se necesitan, desafortunadamente, muy pocos segundos para eliminar y echar a perder los parámetros que contiene.

Para evitar este problema, existen soluciones que permiten realizar una copia de seguridad y la posterior restauración de las distintas directivas implementadas desde la consola Administración de directivas de grupo; también permiten exportar las directivas a otro dominio.

1. Copia de seguridad de una directiva

La primera etapa consiste en realizar una copia de seguridad de la directiva de grupo para poder restaurar su configuración posteriormente.

 Inicie una sesión en AD1 como Formacion\administrador.

 Abra la consola Administración de directivas de grupo y, a continuación, despliegue los nodos Bosque: Formacion.local, Dominios. Despliegue, a continuación, Formacion.local.

 Haga clic en el contenedor Objetos de directiva de grupo.

Si hace clic con el botón derecho en este contenedor, se abrirá un menú contextual con la opción Realizar copia de seguridad de todos… que le permite realizar la copia de seguridad del conjunto de directivas presentes.

 Haga clic con el botón derecho en la directiva Servicio de auditoría informática y, a continuación, seleccione la opción Hacer copia...