Cómo se aplican las políticas de grupo en Windows 2000

En este artículo, aprenderás cómo se aplican las políticas de grupo en Windows 2000. Antes de comprender las implicaciones de las políticas de grupo, es importante entender cómo las aplica el sistema operativo en cuestión.

Índice de Contenido
  1. ¿Qué viene primero?
  2. Entendiendo el bucle de retroceso de la política de grupo
  3. Configurando el modo de bucle de retroceso
  4. Actualización de las GPO
  5. Procesamiento sincrónico versus asincrónico de las GPO
  6. Aplicaciones de las GPO en conexiones lentas
  7. Actualización bajo demanda de las GPO
  8. Especificando el controlador de dominio de destino para la edición de las GPO
  9. Conclusión

¿Qué viene primero?

Windows 2000 procesa primero el objeto de la política de grupo (GPO) local, seguido por el sitio, dominio y unidades organizativas (OU) aplicables. El cliente solicita una lista de GPO al controlador de dominio (DC) y luego procesa esa lista para aplicar las políticas contenidas en los GPO(s). Windows 2000 procesa los GPO al iniciar la computadora o al iniciar sesión, y también cuando se alcanza el período de actualización predeterminado, que es de 90 minutos.

En el lado del cliente, un grupo de DLL, conocidas como extensiones de cliente, realiza el procesamiento de la política de grupo. Cada DLL es responsable de políticas específicas. La Tabla 1 muestra las extensiones de cliente y las políticas que procesan:

Tabla 1: Extensiones de cliente para las políticas de grupo
ExtensiónDLL
RegistroUserenv.dll
Cuota de discoDskquota.dll
Redirección de carpetasFdeploy.dll
ScriptsGptext.dll
Instalación de softwareAppmgmts.dll
SeguridadScecli.dll
IP SecurityGptext.dll
Recuperación de EFSScecli.dll
Mantenimiento de Internet ExplorerLedkcs32.dll
Servicios de instalación remotaNinguno

Cada GPO puede incluir configuraciones de políticas tanto para la Configuración del usuario como para la Configuración del equipo. El cliente da prioridad a las políticas de Configuración del equipo sobre las políticas de Configuración del usuario al procesar primero las políticas de Configuración del usuario. Sin embargo, en ciertas situaciones, esta prioridad puede generar resultados inesperados. Por ejemplo, el equipo de un usuario puede pertenecer a una OU diferente a la de su cuenta de usuario. Entonces, ¿cómo determinas qué GPO se aplica? El bucle de retroceso de la política de grupo te permite controlar ese comportamiento.

Entendiendo el bucle de retroceso de la política de grupo

En la mayoría de los casos, cuando un usuario inicia sesión desde una estación de trabajo, sus políticas de grupo se aplican principalmente en función de la configuración definida por el objeto de usuario en Active Directory en lugar del objeto de equipo. Sin embargo, cuando el usuario inicia sesión desde un equipo que forma parte de la OU del servidor, debe obtener su configuración del objeto de equipo en lugar del objeto de usuario. Puede haber muchas otras situaciones en las que desee que las GPO del objeto de equipo tengan prioridad sobre el objeto de usuario, según la estructura de su organización y la función de cada equipo.

El bucle de retroceso de la política de grupo, que solo está disponible en entornos de Windows 2000 puros (clientes y DC de Windows 2000), permite que las políticas de grupo se apliquen únicamente en función del equipo desde el cual el usuario inicia sesión. El bucle de retroceso tiene dos modos de procesamiento:

Cómo instalar NTFS for Windows 98 y leer unidades NTFS en Windows 95
  • Modo de combinación: En este modo, Windows 2000 procesa las políticas de grupo para la Configuración del usuario primero, seguidas de las de la Configuración del equipo. Esto hace que las políticas de Configuración del equipo tengan prioridad sobre cualquier configuración de Configuración del usuario. Cuando el objeto de Configuración del equipo no especifica una determinada política, el objeto de Configuración del usuario define la configuración de la política.
  • Modo de reemplazo: En este modo, Windows 2000 procesa solo las políticas de grupo de la Configuración del equipo, ignorando las políticas de Configuración del usuario.

Ten en cuenta que, en cualquiera de los modos, el usuario puede tener varias GPO aplicadas. Por ejemplo, el usuario puede verse afectado por una GPO de sitio, una GPO de dominio y dos GPO de OU. Cuando el cliente obtiene la lista de GPO del DC, el contenido de la lista se determina según el modo de bucle de retroceso. Con el modo de combinación, el cliente solicita la lista normalmente (según la ubicación del usuario en Active Directory) y luego envía una segunda solicitud basada en la ubicación del equipo. El resultado es que las GPO pueden procesarse realmente dos veces, como se muestra en la Figura A.

Cómo se aplican las políticas de grupo en Windows 2000 - Microsoft | Imagen 1 Newsmatic
Figura A
Las GPO a veces pueden procesarse dos veces.

En este ejemplo, la lista inicial de GPO y el orden de procesamiento son GPO1, GPO2, GPO3 y GPO4. Cuando se completa la segunda solicitud basada en la ubicación del equipo, la respuesta se agrega a la lista, lo que resulta en una lista final de proceso de GPO de GPO1, GPO2, GPO3, GPO4, GPO1, GPO2, GPO5 y GPO6. En el caso del modo de reemplazo, el cliente solicita la lista basándose solo en la ubicación del equipo en Active Directory, dando como resultado GPO1, GPO2, GPO5 y GPO6.

Configurando el modo de bucle de retroceso

Para establecer el modo de bucle de retroceso de manera efectiva, abre la consola de Active Directory Users And Computers, haz clic derecho en el contenedor donde deseas aplicar la configuración del bucle de retroceso (sitio, dominio o unidad organizativa) y selecciona Propiedades. Cuando aparezca la ventana de Propiedades, haz clic en la pestaña Política de grupo.

Selecciona la política de grupo en la que deseas definir la configuración del bucle de retroceso y selecciona Editar. A continuación, expande la rama Configuración del equipo/Plantillas administrativas/Sistema/Política de grupo. Haz doble clic en Modo de procesamiento del bucle de retroceso de la política de grupo de usuario, selecciona Habilitado y luego selecciona Combinar o Reemplazar en la lista desplegable. Haz clic en Aceptar para cerrar el cuadro de diálogo y luego cierra la consola de Política de grupo.

Actualización de las GPO

Windows 2000 actualiza automáticamente las GPO cada 90 minutos de forma predeterminada, aunque aplica un intervalo de desfase aleatorio de 30 minutos al período de actualización para garantizar que grandes grupos de usuarios no actualicen sus GPO al mismo tiempo. La actualización de las GPO garantiza que los cambios en las políticas de grupo se implementen de manera oportuna.

Puedes ajustar el intervalo de actualización según las necesidades de tu red. Aumentar el intervalo de actualización puede ayudar a reducir el tráfico de red si rara vez cambias las políticas. Disminuir el intervalo de actualización permite que los cambios en las políticas de grupo se apliquen más rápidamente y es deseable cuando esperas realizar cambios en las políticas con más frecuencia o deseas asegurarte de que los cambios se apliquen de manera oportuna. Sin embargo, disminuir el intervalo de actualización también genera más tráfico de red, por lo que debes considerar este factor al decidir el intervalo de actualización.

Cómo administrar cuentas de usuario desde la línea de comandos en Windows NT y Windows 2000

Puedes especificar un intervalo tan bajo como siete segundos o tan alto como 45 días. Obviamente, los intervalos altos como el máximo son relativamente inútiles, ya que los cambios deben aplicarse mucho más rápido en casi todas las situaciones. Las duraciones muy cortas también son indeseables en la mayoría de las situaciones debido al exceso de tráfico de red que generan.

Especifica el intervalo de actualización de las GPO a través de la configuración de la GPO Predeterminada de controladores de dominio. Para hacer esto, abre la consola de Active Directory Users And Computers. Haz clic derecho en el dominio y selecciona Propiedades. Elige la Política de dominio predeterminada y haz clic en Editar. Expande la rama Configuración del equipo/Plantillas administrativas/Sistema/Política de grupo. A continuación, haz doble clic en el intervalo de actualización de las directivas de grupo para equipos, haz clic en Habilitado y establece el intervalo y el rango de desfase. Finalmente, haz clic en Aceptar y cierra la consola de Política de grupo.

Procesamiento sincrónico versus asincrónico de las GPO

De forma predeterminada, el procesamiento de las GPO es sincrónico, lo que significa que se debe completar el procesamiento de una GPO antes de que comience el procesamiento de la siguiente. Las políticas de Configuración del equipo se aplican al iniciar el sistema y las políticas de Configuración del usuario se aplican al iniciar sesión y se completan antes de que la interfaz de usuario esté disponible para el usuario.

En la mayoría de los casos, querrás seguir utilizando el comportamiento sincrónico predeterminado. Sin embargo, puedes configurar Windows 2000 para que procese las políticas de forma asincrónica. En el modo asincrónico, el procesamiento de las GPO puede ocurrir simultáneamente y en múltiples hilos, lo que proporciona un mejor rendimiento y un procesamiento más rápido. Para garantizar la aplicación confiable de las políticas, especialmente cuando ciertas políticas necesitan anular políticas establecidas en niveles inferiores, debes utilizar el modo sincrónico. Utiliza el modo asincrónico solo cuando el rendimiento sea un problema, y úsalo con prudencia.

Puedes configurar el modo de procesamiento de las GPO a través de la Política de dominio predeterminada. Para hacerlo, abre la consola de Active Directory Users And Computers. Haz clic derecho en el dominio y selecciona Propiedades. Cuando aparezca la ventana de Propiedades, selecciona la Política de dominio predeterminada y haz clic en Editar. A continuación, expande la rama Configuración del equipo/Plantillas administrativas/Sistema/Política de grupo. Haz doble clic en el intervalo de actualización de las directivas de grupo para equipos, haz clic en Habilitado y establece el intervalo y el rango de desfase. Cuando hayas terminado, haz clic en Aceptar y cierra la consola de Política de grupo.

Aplicaciones de las GPO en conexiones lentas

Aunque la mayoría de los usuarios inician sesión a través de una conexión de alta velocidad como una LAN, los usuarios remotos y en itinerancia a menudo inician sesión a través de conexiones de acceso telefónico de baja velocidad. Otros factores también pueden afectar el ancho de banda de la conexión. Durante el procesamiento de las políticas de grupo, Windows 2000 utiliza un método relativamente complejo para determinar la velocidad de conexión. Primero, intenta realizar un ping al servidor, haciendo varios intentos para determinar una tasa promedio de transmisión. Si no se puede realizar el ping, Windows 2000 mide la velocidad de conexión mediante la prueba del rendimiento del sistema de archivos, el mismo método utilizado en Windows NT. Si Windows 2000 detecta una conexión lenta, procesa las políticas de grupo de la siguiente manera:

Guía completa para crear y usar scripts de inicio de sesión en Windows NT/2000
  1. Se procesa la política de seguridad.
  2. Se procesan las políticas de las plantillas administrativas.
  3. No se procesa la instalación de software.
  4. No se procesan los scripts.
  5. No se procesa la redirección de carpetas.
  6. No se procesa el mantenimiento de Internet Explorer.

Puedes configurar el comportamiento de la conexión lenta a través de la configuración de la política Computer Configuration/Administrative Templates/System/Group Policy/Group Policy Slow Link Detection y para las políticas de usuario a través del mismo nodo de la rama User Configuration. Puedes configurar estas configuraciones para cada GPO, lo que te permite aplicar políticas de grupo de manera diferente para cada GPO a través de una conexión lenta.

Actualización bajo demanda de las GPO

Como se mencionó anteriormente, Windows 2000 actualiza automáticamente las políticas de grupo en función del intervalo de actualización que especifiques para las GPO, siendo el intervalo predeterminado de 90 minutos. Sin embargo, puedes forzar una actualización de las políticas de grupo entre las actualizaciones automáticas, si es necesario. Puedes actualizar las políticas de la Configuración del equipo y las políticas de la Configuración del usuario por separado.

Para actualizar las políticas de la Configuración del equipo, selecciona Ejecutar en el menú Inicio. En el cuadro de diálogo Ejecutar, escribe secedit /refreshpolicy MACHINE_POLICY /enforce y haz clic en Aceptar.

Para actualizar las políticas de la Configuración del usuario, selecciona Ejecutar en el menú Inicio. En el cuadro de diálogo Ejecutar, escribe secedit /refreshpolicy USER_POLICY /enforce.

La opción /enforce hace que Windows 2000 actualice las políticas para las extensiones de Seguridad y Recuperación de EFS independientemente de si se ha producido un cambio en la política y no tiene ningún efecto para las demás extensiones de políticas de grupo.

Especificando el controlador de dominio de destino para la edición de las GPO

Si tu red tiene un dominio único y algunos controladores de dominio, y todas las computadoras están en la misma red, realmente no tienes que preocuparte por indicar el controlador de dominio de destino correcto al realizar cambios en la política de grupo. Sin embargo, si tienes múltiples dominios, controladores de dominio y usuarios con la capacidad de cambiar la política de grupo, es importante indicar el destino correcto para los cambios en la política de grupo. Además, podrías tener más de un controlador de dominio que reciba cambios, lo que provoca que los cambios en otros controladores de dominio se pierdan durante la replicación.

Las herramientas de solución de problemas en Windows 2000 Professional

Tienes dos posibilidades para especificar opciones para controlar los cambios de política de grupo del controlador de dominio:

  • Dinámicamente a través de la consola Editor de directivas de grupo
  • Dinámicamente a través de políticas definidas en la rama Plantillas administrativas

Para configurar las opciones a través de la consola, abre las propiedades del dominio, haz clic en la pestaña Política de grupo y edita el objeto Política de dominio predeterminada. Selecciona la raíz del objeto y elige Ver | Opciones de DC para mostrar el cuadro de diálogo Opciones para la selección del controlador de dominio, como se muestra en Figura B.

Cómo se aplican las políticas de grupo en Windows 2000 - Microsoft | Imagen 2 Newsmatic
Figura B
Puedes especificar opciones para controlar los cambios de la política de grupo del dominio.

Las opciones que encontrarás en esta pantalla incluyen las siguientes:

  • El que tiene el token del maestro de operaciones para el PDC Emulator: Esta opción hace que Windows 2000 utilice el mismo DC como destino para todas las operaciones de creación y edición de políticas de grupo, mientras que los demás DC reciben las actualizaciones a través de la replicación. Esto garantiza que no ocurran conflictos de edición causados por cambios de política simultáneos en diferentes DC. Con esta opción seleccionada, la consola de Política de grupo se enfoca automáticamente en el DC especificado. Típicamente, el DC con el token de maestro de operaciones es el primer DC creado en el dominio, aunque esto puede cambiar.
  • El que se utiliza con las instantáneas de Active Directory: Esta opción te permite seleccionar un DC al usar las instantáneas de la consola de Política de grupo. Si seleccionas el correcto, los cambios se realizan en el DC seleccionado. Sin embargo, seleccionar el DC es un proceso manual consciente que puede generar errores. Si olvidas cambiar el enfoque y realizas cambios en el DC incorrecto, esos cambios podrían perderse durante la replicación o causar otros problemas, por lo que debes utilizar esta opción con cuidado.
  • Utilizar cualquier controlador de dominio disponible: Esta opción permite realizar cambios en cualquier DC, lo que la convierte en la opción menos favorable. Si solo tienes algunos DC y solo una persona realiza cambios en la política, entonces esta opción es aceptable.

Si prefieres establecer estas opciones a través de una directiva (un método mejor ya que luego se aplica a todos los administradores), configura las configuraciones de la directiva a nivel de dominio. Abre la GPO Predeterminada del controlador de dominio y modifica la directiva Configuración de usuario/Plantillas administrativas/Sistema/Política de grupo/Selección del controlador de dominio de la política de grupo según lo desees. Las opciones disponibles son las mismas que se discutieron anteriormente.

Conclusión

En este punto, deberías tener una comprensión bastante buena de lo que son los objetos de políticas de grupo y cómo te permiten aplicar políticas, al menos en un sentido general. También deberías tener suficiente información para comenzar a planificar una implementación de políticas de grupo. En próximos artículos, explicaré cómo crear y gestionar objetos de políticas de grupo y te mostraré cómo puedes filtrarlos utilizando grupos de seguridad.

Cómo evitar que la conversión de NTFS se ejecute al reiniciar el servidor

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Microsoft, allí encontraras muchos artículos similares a Cómo se aplican las políticas de grupo en Windows 2000 , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.