ss_blog_claim=523adfc12fd43a389f862977c57fd09e

Trabajando con Políticas (GPOs) y ADMX en Windows Server 2008

Publicado el 3 December, 2007 | por Diego Cabai | Leído 716 veces

Para los que conocen un poco de las políticas en versiones anteriores de Windows, cada vez que queríamos agregar algún parámetro de Registry por política teníamos que armar un archivo .ADM e incluírlo dentro de la GPO que habíamos creado. Esto en Windows Server 2008 cambió un poco. La diferencia mayor en cuanto al formato es que el ADM tenía una estructura propia y los nuevos ADMX y ADML se encuentran en formato XML como todo archivo de configuración dentro de Windows Server 2008. Este se ha convertido en el formato por excelencia por este nuevo OS por lo que debemos acostumbrarnos a trabajar con el mismo. Cabe destacar que los mismos archivos y estructuras se encuentran en Windows Vista, así que si queremos modificar alguna política local también podemos.

Lo primero es identificar con qué herramienta vamos a trabajar y editar estos archivos. Podríamos utilizar el Notepad de Windows pero la verdad que es bastante difícil de comprender. Otra opción es utilizar un editor de texto mas completo como el Editplus o el Ultraedit y tomar el archivo como un XML cualquiera. Estos programas te muestran el archivo y marcan con colores los diferentes tags del XML para que sea mas sencilla su edición. Por último podemos utilizar la herramienta provista por Microsoft XML Notepad 2007. Este último programa nos muestra el XML en forma de árbol o secciones y a la izquierda están los parámetros para modificar. Dejo una imágen del producto.

XMLNotepad Este software es realmente bueno para trabajar con XML incluso nos permite hacer una comparación de archivos de forma muy sencilla. Dentro del menú desplegable tenemos la opción "Compare XML Files" y automáticamente nos abre una ventana mostrando las diferencias que encontró con diferentes colores para los diferentes tipos de modificaciones.

Bueno, ya tenemos la herramienta, ahora qué diferencia hay entre los archivos ADMX y ADML? Simplemente que los archivos ADMX contienen los parámetros en registry a modificar, la política en si, completa. En cambio los archivos ADML sólo contienen la información de la descripción y mensajes por cada idioma. Son el "Language File" y podemos tener mas de un ADML por cada ADMX diferenciado por directorios del idioma particular. Por ejemplo si vamos a la ruta dónde se encuentran los ADMX "%SystemDrive%\Windows\PolicyDefinitions", vamos a ver una subcarpeta con el idioma correspondiente a los ADML instalados en el sistema. Podemos tener mas de una, pero por defecto y como mínimo tenemos una sóla carpeta con ADMLs, en mi caso "en-US".

image Pero qué pasa si yo tenía unos lindos ADM creados para mi compañía con parámetros que no vienen en los ADMX?
Recordemos que con los ADMX se incorporaron alrededor de +800 configuraciones, pero si así y todo todavía no aparece lo que tenías configurado en los ADM  los podes importar. Para esto Microsoft nos provee la herramienta ADMX Migrator. Es una herramienta muy intuitiva, sólo debemos abrir el archivo .ADM y definir dónde queremos guardar el ADMX con su respectivo ADML. Una vez que tenemos esos archivos basta con copiarlos dentro de las carpetas de políticas antes comentadas y listo ya las va a tomar la GPMC (Group Policy Management Console).

Las aplicaciones van a venir con sus archivos de templates en formato ADMX para que puedan ser modificadas y configuradas en los equipos clientes. Por ejemplo, si quisiéramos configurar todos los parámetros de Office 2007 a las PCs podemos bajar los templates desde el sitio de Microsoft. Bajar 2007 Office System Administrative Template Files
Así como hay de Office hay de otros productos y los que no estén, Microsoft va a empezar a sacar este tipo de archivos con sus productos para que puedan ser configurados de manera mas sencilla.

Cómo hacer para que todos los equipos tomen los mismos ADMX? Para que no pase el issue que tenían los ADM que a veces tomaban en un idioma otras veces en otro, a veces lo tomaba y a veces decía que no encontraba el ADM.
Bueno para esto tenemos la solución del "Repositorio Central de Políticas de Grupo" o "Central Store". Básicamente con esto habilitado los equipos lo detectan y toman el ADMX y ADML que se encuentre ahí sin importar lo que tenga localmente o esté en otra ruta. Sólo trabajará con los archivos ADMX y ADML que se encuentren en el Central Store. Esto es muy bueno para standarizar los archivos en la red. Cómo se habilita? Fácil hay que seguir los siguientes pasos:

1. Crear las siguientes carpetas en tu dominio:
"%systemroot%\sysvol\domain\policies\PolicyDefinitions"
"%systemroot%\sysvol\domain\policies\PolicyDefinitions\EN-US"

2. Copiar los archivos ADMX y ADML a estas carpetas:  

"Xcopy %systemroot%\PolicyDefinitions\* %systemroot%\sysvol\domain\policies\PolicyDefinitions\"
"Xcopy %systemroot%\PolicyDefinitions\en-us\* %systemroot%\sysvol\domain\policies\PolicyDefinitions\en-us"

Listo, con esas carpetas creadas y los archivos copiados la consola de administración de políticas va a tomar esos archivos al detectarlos. Lo mismo para los clientes.
Con esta información ya estaríamos en condiciones de trabajar con archivos ADMX y ADML. Podemos identificarlos, editarlos, crearlos, migrar archivos de versiones anteriores, crear un repositorio central y bajar nuevos templates para utilizar. Ahora queda utilizarlos y trabajar con las GPOs en si, pero eso lo dejo para otro post. Si voy a dejar unos links interesantes sobre GPOs que te pueden interesar.

Link | Group Policy Team Blog
Link | Group Policy Wiki
Link | Windows Networking.com
Link | Microsoft Technet Group Policy

Compártelo

Email Email | Imprimir Imprimir |  PDF

Active Directory, IT, Server 2008, Windows

Artículos Relacionados

  1. 2 Respuestas a “Trabajando con Políticas (GPOs) y ADMX en Windows Server 2008”

  2. De Anonymous el 17 Jan, 2008 | Responder

    Bien, pero podrias aclarar un poco que pasa cuando en VISTA no tenemos un domain y trabajamos en workgoup. Intente reemplazar los archivos para copiarlos de otro ordenador y no pude hacerlo porque estan protegidos y no encuentro la forma.

  3. De Diego Cabai el 17 Jan, 2008 | Responder

    Hola, te cuento que si tu grupo de trabajo no tiene un dominio es mas complicado tener todas las PCs iguales, requiere de mucho trabajo manual en cada estación, pero se puede hacer.

    No haría falta copiar los ADMX y ADML si todos son Vista y de la misma versión, ahora si generas uno nuevo sí debes copiarlo en todas las estaciones de trabajo.

    Luego desde una estación de trabajo abrís la MMC (mmc.exe) y agregas los snap-ip Security Configuration and Analysis y Security Templates. No recuerdo en español cómo eran los nombres. Primero vas a Security Templates y generas un nuevo template.inf con los valores de configuración que vos quieras para el equipo. Una vez que tenes el inf grabado vas a la Security Configuration and Analysis y haces Open Database. Si nunca lo abriste antes ponele cualquier nombre que genera una nueva base. Después te pide un template y ubicá el que recien generaste. Ahí va a comparar tu PC con el template que generaste, te va a marcar las diferencias y podes configurar la Pc desde ahí.

    Para hacerlo en las demas, copiá el template.inf que generaste y directamente abrí la Security Configuration and Analysis en las Pcs para aplicarle los cambios.

    Espero te sirva. Saludos!

Deja un comentario!