Reparar las directivas de grupo
Contenedor de directivas de grupo
La información relativa a las directivas de grupo se reparte en dos contenedores:
-
El GPC (Group Policy Container), que permite almacenar propiedades como el número de versión, estado o filtros WMI. Se almacena en el directorio Active Directory.
-
El GPT (Group Policy Template), que contiene los distintos parámetros (seguridad, scripts y parámetros ligados al registro). Trabaja con los tipos de archivo adm o admx. Este contenedor se encuentra en la carpeta SYSVOL.
Ambos contenedores se almacenan en lugares distintos (AD y SYSVOL), de modo que la replicación utiliza dos sistemas diferentes. El GPC almacenado en Active Directory se replica usando AD. El GPT utiliza el sistema de replicación FRS (replicación de archivos) o el DFSR (Distributed File System Replication) para duplicarse. Pueden aparecer problemas en uno u otro sistema de replicación, lo que genera eventualmente datos incoherentes entre ambos.
Uso de la herramienta GPOTool
Esta herramienta, que permite realizar la verificación de una directiva de grupo, está disponible desde Windows 2000. La coherencia de las GPO entre los contenedores GPC y GPT también puede comprobarse mediante esta herramienta.
Esta última es gratuita y puede descargarse buscando el Resource Kit Tools para Windows Server 2003.
No obstante, si el sistema operativo ejecutado es Windows Server 2008 o más reciente, es posible descargar el ejecutable por la línea de comandos visitando directamente el blog personal del autor (página en inglés): http://www.nibonnet.fr/?p=272
Descargue el ejecutable y cópielo en la raíz de la partición C: del servidor AD1.
Abra una ventana de comandos DOS y, a continuación, escriba cd /.
La instrucción permite seleccionar la raíz de la partición.
Escriba el comando gpotool ad1 /verbose.
Es, por lo tanto, fácil comprobar un eventual problema de replicación. En caso de error en la duplicación, será preciso utilizar los registros de eventos para intentar detectar el origen del problema.
Conjunto resultante de directivas
El conjunto resultante de directivas (RSoP, Resultant Set of Policy) permite elaborar informes sobre los distintos parámetros de las directivas de grupo aplicadas a un usuario o a un equipo. Estos informes pueden crearse mediante la consola de Administración de directivas de grupo (GPMC - Group Policy Management Console) o mediante el comando gpresult. Los datos del conjunto resultante se extraen del equipo indicado y se presentan en un informe con formato HTML.
Existen varios escenarios que pueden requerir la resolución de algún problema, como una directiva que no se aplica correctamente o parámetros que se aplican pero que son completamente incoherentes.
En primer lugar, es importante verificar la conectividad de red mediante el comando ping, que permite asegurar la respuesta del controlador de dominio a nivel IP. Una vez validada esta etapa, debe comprobarse la resolución de nombres DNS mediante el comando nslookup.
Si ambas comprobaciones no muestran problemas, deben utilizarse herramientas tales como el registro de eventos (registros del Sistema, Aplicación y Group Policy) o el conjunto resultante de directivas.
1. Uso del comando RSoP
En el puesto cliente CLI10-01, abra una sesión como nbonet.
Abra una Consola MMC y agregue el componente Conjunto resultante de directivas.
Haga clic con el botón derecho en el nodo Conjunto resultante de directivas y, a continuación, seleccione Generar datos RSOP.
Se ejecuta el asistente. Haga clic en Siguiente.
Existen dos modos de uso:
-
Modo de registro, que permite verificar la configuración...
Operación de mantenimiento en la infraestructura
La configuración de una directiva de grupo puede tomar cierto tiempo. Se necesitan, desafortunadamente, muy pocos segundos para eliminar y echar a perder los parámetros que contiene.
Para evitar este problema, existen soluciones que permiten realizar una copia de seguridad y la posterior restauración de las distintas directivas implementadas desde la consola Administración de directivas de grupo. También permiten exportar las directivas a otro dominio.
1. Copia de seguridad de una directiva
La primera etapa consiste en realizar una copia de seguridad de la directiva de grupo para poder restaurar su configuración posteriormente.
Inicie una sesión en AD1 como Formacion\administrador.
Abra la consola Administración de directivas de grupo y, a continuación, despliegue los nodos Bosque, Dominios y Formacion.local.
Haga clic en el contenedor Objetos de directiva de grupo.
Si hace clic con el botón derecho en este contenedor, se abrirá un menú contextual con la opción Realizar copia de seguridad de todos… que le permite realizar la copia de seguridad del conjunto de directivas presentes.
Haga clic con el botón derecho en la directiva PC Libre Disposición y, a continuación, seleccione la opción Hacer copia de seguridad.
En la ventana Copia de seguridad de objeto...