RSoP (Resultant Set of Policy)

El RSoP (Resultant Set of Policy), o Conjunto Resultante de Directivas, es la herramienta de diagnóstico definitiva en Windows Server. Su función es responder a la pregunta: «Después de aplicar todas las jerarquías, filtros y bloqueos, ¿cuál es la configuración final que realmente tiene este usuario o este equipo?»

Debido a que las directivas se heredan desde el Sitio, Dominio y múltiples OUs (la regla LSDOU), es fácil que unas políticas entren en conflicto con otras. El RSoP actúa como el «juez» que muestra quién ganó la disputa.

1. Los dos modos de RSoP

En la Consola de Administración de Directivas de Grupo (GPMC), el RSoP se divide en dos funciones distintas según lo que necesites hacer:

A. Group Policy Modeling (Modo Planificación)
  • Uso: Simular escenarios «Warp-if» (¿Qué pasaría si…?).
  • Ejemplo: «¿Qué directivas tendría un usuario de Ventas si inicia sesión desde una red lenta en la oficina de Londres?».

Se utiliza antes de realizar cambios. Es un simulador que permite predecir qué pasaría si mueves a un usuario a una nueva OU o si creas una nueva GPO.

B. Group Policy Results (Modo Registro)

Se utiliza para solucionar problemas reales. Consulta la base de datos de un equipo específico para ver qué directivas se aplicaron realmente en su última sesión.

  • Uso: Comprobar la realidad técnica de un puesto de trabajo.
  • Ejemplo: «El usuario dice que no puede ver el fondo de pantalla corporativo; voy a ver qué GPO lo está bloqueando».

2. ¿Qué información nos da un informe RSoP?

Cuando generas un informe (ya sea mediante el asistente de la GPMC o con el comando gpresult /h), obtendrás tres secciones críticas:

  1. Configuración de Equipo y Usuario: Detalla cada parámetro (registro, seguridad, scripts) que ha sido modificado.
  2. GPOs Aplicadas: Una lista de todos los Objetos de Directiva que tuvieron éxito.
  3. GPOs Denegadas (y por qué): Esta es la parte más útil. Te dirá si una GPO no se aplicó por:
    • Filtro WMI: El hardware no cumplía los requisitos.
    • Filtrado de Seguridad: El usuario no pertenece al grupo de seguridad correcto.
    • Bloqueo de Herencia: Una OU superior fue ignorada.
    • Deshabilitada: La GPO está desactivada globalmente.

3. Precedencia: ¿Cómo decide el RSoP quién gana?

El RSoP aplica una lógica de jerarquía estricta para resolver conflictos entre varias GPOs:

  • LSDOU: Como regla general, la configuración de la Unidad Organizativa (OU) más cercana al objeto gana sobre el Dominio y el Sitio.
  • Orden de Vínculo: Si hay dos GPOs en la misma OU, gana la que tiene el número de orden de vínculo más bajo (prioridad 1).
  • Enforced (Exigido): Si una GPO de nivel superior (como el Dominio) está marcada como «Exigida», ganará siempre, incluso sobre configuraciones de OUs inferiores o bloqueos de herencia.

4. Herramientas para ver el RSoP

Aunque el PDF que compartiste se centra en la consola GPMC, en el día a día se utilizan estas tres vías:

Dato clave: El RSoP no solo muestra configuraciones de Microsoft. Si has añadido plantillas ADMX de terceros (como para Chrome, Adobe o Zoom), el RSoP también te mostrará qué configuraciones están recibiendo esos programas.