1. Anatomía de una GPO
Una GPO no es un único archivo, sino una combinación de dos componentes que deben estar sincronizados para que la directiva funcione:
- GPC (Group Policy Container): Es el componente almacenado en Active Directory. Contiene los atributos del objeto, como el nombre, la ruta a los archivos de configuración y el número de versión (fundamental para la replicación).
- GPT (Group Policy Template): Es el componente almacenado en el sistema de archivos, específicamente en la carpeta SYSVOL del controlador de dominio (
\\Dominio\SYSVOL\Policies). Aquí reside la «carga útil»: scripts, archivos de registro (.pol) y plantillas.
2. Áreas de Configuración
Dentro de cualquier GPO, encontrarás dos divisiones principales que se aplican en momentos distintos:
Configuración del Equipo (Computer Configuration)
Se aplica cuando el sistema operativo arranca, antes de que el usuario inicie sesión.
- Políticas de Seguridad: Configuración de contraseñas, derechos de usuario y auditoría.
- Asignación de Software: Instalación automática de programas (.msi) al encender el equipo.
- Scripts de Inicio/Apagado: Ejecución de procesos a nivel de sistema.
Configuración del Usuario (User Configuration)
Se aplica en el momento en que el usuario introduce sus credenciales y se carga su perfil.
- Escritorio y Panel de Control: Restricción de acceso a herramientas del sistema o cambio de fondo de pantalla.
- Redirección de Carpetas: Mueve carpetas como «Documentos» a un servidor central.
- Scripts de Inicio/Cierre de sesión: Mapeo de unidades de red o impresoras.
3. Plantillas Administrativas (Archivos ADMX)
Las GPOs utilizan plantillas basadas en XML para definir qué opciones están disponibles en el editor.
- ADMX: Contiene la estructura técnica de la política (el archivo principal).
- ADML: Contiene las traducciones (idioma) para que el administrador vea las descripciones en su lengua.
Consejo Pro: Se recomienda crear un Almacén Central (Central Store) en el directorio SYSVOL. Esto permite que todos los administradores del dominio utilicen exactamente el mismo conjunto de plantillas ADMX, evitando discrepancias de versión entre servidores.
4. Ejemplos de GPOs comunes
A continuación, una tabla con configuraciones frecuentes que se desarrollan en entornos corporativos:
5. Ciclo de Refresco y Actualización
Las GPOs no siempre se aplican instantáneamente. Por defecto, los equipos consultan cambios cada 90 minutos (con un desfase aleatorio de 30 minutos).
Para forzar la aplicación de una GPO durante el desarrollo o pruebas, se utilizan estos comandos en la terminal del cliente:
gpupdate /force: Aplica todas las directivas nuevas o cambiadas de inmediato.gpresult /r: Genera un informe detallado (RSoP) para verificar qué políticas se están aplicando realmente y cuáles están siendo filtradas.