Se producen cambios en el comportamiento de la directiva de grupo después de instalar Windows XP Service Pack 2

El comportamiento de la plantilla administrativa de Directiva de grupo ha cambiado de varias maneras en Microsoft Windows XP Service Pack 2 (SP2). Estos cambios también se aplicarán a todos los Service Packs de Windows futuros.

En este artículo se describen los cambios de la plantilla administrativa de Directiva de grupo y cómo afectarán a la funcionalidad total de Directiva de grupo.

Elemento condicional IF VERSION / END IF

Resumen

Puede controlar la presentación de ciertas características o valores de configuración utilizando el elemento condicional IF VERSION / END IF, según la versión del Editor de objetos de directiva de grupo (Gpedit.msc). La versión es importante, porque las versiones más recientes del sistema operativo Windows pueden tener características o valores de configuración que no se pueden interpretar correctamente en las versiones anteriores del Editor de objetos de directiva de grupo. De igual modo, los comportamientos pueden cambiar entre las versiones del Editor de objetos de directiva de grupo. El elemento condicional IF VERSION / END IF permite que las versiones anteriores del Editor de objetos de directiva de grupo analicen u omitan algunas partes de las plantillas administrativas.

En la tabla siguiente se enumeran los números de versión del Editor de objetos de directiva de grupo:Puede utilizar el Editor de objetos de directiva de grupo versión 5 en Windows XP Service Pack 2 para evitar la presentación de algunos valores y separar la versión de Windows XP Service Pack 2 del Editor de objetos de directiva de grupo de las versiones anteriores. Por consiguiente, no se mostrará ningún valor de la versión 5 o de una versión posterior cuando se vea la configuración de Directiva de grupo desde un equipo cliente donde el Editor de objetos de directiva de grupo no pueda interpretar esta versión. En particular, los clientes de Windows 2000 no pueden ver la configuración con el Editor de objetos de directiva de grupo versión 5 o una versión posterior. Entre estos valores se incluyen, entre otros, los siguientes:

• DCOM: definir excepciones de comprobación de seguridad de seguridad de activación
• Archivos sin conexión: archivos sin conexión asignados de forma administrativa (directiva de equipo)
• Archivos sin conexión: prohibir 'Disponible sin conexión' para estos archivos y carpetas (directiva de equipo)
• Archivos sin conexión: archivos sin conexión asignados de forma administrativa (directiva de usuario)
• Archivos sin conexión: prohibir Disponible sin conexión' para estos archivos y carpetas (directiva de usuario)
• Firewall de Windows: definir excepciones de programa (directiva de equipo)
• Firewall de Windows: definir excepciones de puerto (directiva de equipo)

Problemas

Puede intentar utilizar el elemento condicional IF VERSION / END IF para excluir parte de la información explicativa de varias directivas. Las cadenas que contienen esta información son más de las que las versiones anteriores del Editor de objetos de directiva de grupo pueden leer. Sin embargo, las versiones anteriores del Editor de objetos de directiva de grupo siguen intentando "leer" la información que se incluye en el elemento condicional IF VERSION / END IF antes de que el Editor de objetos de directiva de grupo determine si hacer que esa información esté visible en él.

Constructor LISTBOX

Las plantillas administrativas (archivos .adm) de Directiva de grupo incluyen varios valores de configuración que puede utilizar para definir cómo se escribirá finalmente una configuración en la Directiva de grupo de un cliente. Una de estas definiciones, o constructores, es el constructor LISTBOX. El constructor LISTBOX permite al administrador escribir datos en el Editor de objetos de directiva de grupo que contiene varios valores. Si utiliza este constructor, la configuración definida se escribirá como un tipo de valor del Registro REG_MULTI. Por consiguiente, puede almacenar varios valores dentro de un valor del Registro.

Como ejemplo de este constructor, vea el valor de la directiva "Ejecutar estos programas cuando el usuario inicie la sesión" que se encuentra en la ruta de acceso siguiente:Nota: un administrador puede definir que se ejecuten varios programas y todos se escribirán en un valor del Registro único.

Palabra clave ADDITIVE

Resumen

La palabra clave ADDITIVE se usa con el constructor LISTBOX. Al especificar la palabra clave ADDITIVE para un constructor LISTBOX, el comportamiento de los programas que están en ese valor cambia con respecto al comportamiento predeterminado de Directiva de grupo.

Normalmente, las directivas de grupo controlan los conflictos de definiciones de valor con el método "gana el último que escribe". Por ejemplo, si un usuario tiene varios objetos de directiva de grupo (GPO) aplicados y cada objeto tiene una definición diferente para el valor "Ejecutar estos programas cuando el usuario inicie la sesión", la directiva de grupo efectiva para el usuario contendría el valor del último GPO aplicado. Normalmente, éste es el GPO con la mayor prioridad que se aplica al usuario en el objeto de dominio, el objeto del sitio o la unidad organizativa que esté más cerca del usuario en la jerarquía de Active Directory.

La palabra clave ADDITIVE realmente invoca un comportamiento diferente al del método "gana el último que escribe". En cambio, la palabra clave ADDITIVE hace que la directiva de grupo procese las directivas de destino de forma acumulativa. Por consiguiente, los valores de varios GPO se aplican a la configuración de la directiva efectiva de forma combinada.

Antes de Windows XP Service Pack 2, la palabra clave ADDITIVE se utilizaba en pocas ocasiones. Sin embargo, muchas más directivas de grupo utilizan ahora esta palabra clave. Por ejemplo, la configuración de Firewall de Windows Definir excepciones de puerto utiliza este nuevo comportamiento.

Problemas

Se han identificado los problemas siguientes con el comportamiento de la palabra clave ADDITIVE:

• Cuando un valor LISTBOX ADDITIVE se deshabilita en el nivel inferior de una jerarquía de directivas de grupo, el comportamiento esperado sería que la configuración de la directiva acumulativa de la parte superior de la jerarquía no tuviera prioridad y que se deshabilitara el valor efectivo. Esto no ocurre así. En cambio, el usuario sigue recibiendo la configuración heredada.
  
  Nota: este problema realmente se produce cuando el administrador define la configuración de la directiva en el Editor de objetos de directiva de grupo.
• La configuración que utiliza LISTBOX ADDITIVE no está visible al modificar un GPO en Windows 2000. Este comportamiento se debe a que todas las instancias del valor LISTBOX ADDITIVE se han incluido en un elemento condicional IF VERSION >= 5 / END IF. Este comportamiento es intencionado.
  
  Los cambios arquitectónicos han hecho imposible corregir el comportamiento del valor LISTBOX ADDITIVE en Windows 2000. Por consiguiente, decidimos impedir que esa configuración se modifique en un equipo cliente basado en Windows 2000.
  
  Advertencia: no intente modificar las instrucciones condicionales IF VERSION / END IF para hacer que esta configuración se pueda modificar. Podrá ver y modificar la configuración, pero el comportamiento esperado de la directiva resultante dependerá de la versión del sistema operativo del último cliente en modificar la directiva. Dado que es imposible controlar o supervisar la versión del sistema operativo, la directiva resultante sería imprevisible.

Valores de configuración del Registro adicionales

Cuando usa Resultados de directiva de grupo y Modelación de directivas de grupo en la Consola de administración de directivas de grupo (GPMC), se genera un informe con formato HTML. Este informe describe qué valores de la directiva se configuran para un destino determinado. Debido a la manera en que la GPMC interpreta los archivos de plantillas administrativas (.adm), algunos de los nuevos valores de configuración de Directiva de grupo disponibles con Windows XP Service Pack 2 aparecen en los informes de la GPMC bajo la categoría Configuración adicional del Registro, en lugar de bajo las categorías Configuración de usuario o Configuración del equipo. Este comportamiento se debe a que la GPMC no reconoce las entradas del archivo .adm que están incluidas en el constructor "#if version >= 5" / "#endif". Estas entradas pueden incluir valores de configuración de directivas de Microsoft Internet Explorer y Firewall de Windows que utilizan la funcionalidad LISTBOX ADDITIVE.

Un ejemplo del uso del constructor LISTBOX es el valor de configuración de Directiva de grupo Firewall de Windows: definir excepciones de puerto que se encuentra debajo de los nodos Perfil de dominio y Perfil estándar. Este valor de Directiva de grupo se encuentra en Configuración del equipo\Plantillas administrativas\Red\Conexiones de red\Windows.

Además, la GPMC no muestra los nombres para mostrar para esta configuración de Directiva de grupo. La GPMC muestra la información siguiente:

• El nombre de la clave del Registro
• El estado del valor, o si está habilitado o deshabilitado
• El GPO ganador. El GPO ganador es el que realmente aplica la configuración de Directiva de grupo según la prioridad y las reglas de herencia.