Cómo implementar directivas del sistema para equipos cliente basados en Windows XP, Windows 2000 y Windows Server 2003 en entornos que no sean de Active Directory

Se aplica a: Microsoft Windows Server 2003 Standard Edition (32-bit x86)Microsoft Windows Server 2003 Enterprise Edition (32-bit x86)Microsoft Windows XP Professional

Resumen


En este artículo se explica cómo implementar directivas del sistema para equipos cliente basados en Microsoft Windows XP, Microsoft Windows 2000 y Microsoft Windows Server 2003 en entornos de servicio de directorio que no sean de Active Directory.

INTRODUCCIÓN


Antes de la implementación de la configuración de directiva de grupo y de Active Directory en Windows 2000, la configuración de la Directiva de equipo y usuario se implementó como "directivas del sistema de Microsoft Windows". Las directivas del sistema de Windows NT tuvieron las siguientes limitaciones que no tienen las opciones de directiva de grupo de Active Directory:
  • Las directivas se conservan en el perfil de un usuario hasta que se invierte la Directiva especificada o hasta que se cambie la configuración del registro correspondiente. Este comportamiento suele denominarse "marcar" el registro.
  • Las directivas no son seguras.
  • No se pueden actualizar las directivas sin reiniciar.
La Directiva de grupo incluye la funcionalidad de las directivas del sistema de Windows NT 4,0. La Directiva de grupo también proporciona opciones de directiva adicionales para los siguientes elementos:
  • Scripts
  • Instalación y mantenimiento de software
  • Configuración de seguridad
  • Mantenimiento de Microsoft Internet Explorer
  • Redireccionamiento de carpetas
La siguiente tabla compara la Directiva de grupo y la Directiva del sistema de Windows NT 4,0.
RealizanDirectiva de grupoDirectiva del sistema de Windows NT 4,0
Herramienta usadaComplemento Directiva de grupo de Microsoft Management Console (MMC)Editor de directivas del sistema (Poledit. exe)
Número de opciones de configuraciónMás de 150 configuración relacionada con la seguridad y más de 620 configuración basada en el registroconfiguración de 72
Aplicado aUsuarios o equipos de un contenedor de Active Directory especificado (sitio, dominio o unidad organizativa) o equipos y usuarios localesDominios o equipos y usuarios locales
SeguridadSecureNo seguro
Extensible porArchivos MMC o. admarchivos. adm
PermanenteNo deja la configuración en los perfiles de usuario cuando se cambia la Directiva efectivaConstante en perfiles de usuario hasta que se invierte la Directiva especificada o hasta que se cambie el registro
Definido porPertenencia de usuario o equipo a grupos de seguridadPertenencia de usuario en grupos de seguridad
Usos principalesImplemente la configuración basada en el registro para controlar el escritorio y el usuario. Configure muchos tipos de opciones de seguridad. Aplicar los scripts de inicio de sesión, cierre de sesión, Inicio y apagado. Implementar el mantenimiento y la instalación del software IntelliMirror. Implementar la administración de datos y configuración de IntelliMirror. Optimizar y mantener Internet Explorer. Implemente opciones de configuración basadas en el registro que rijan el comportamiento de las aplicaciones y los componentes del sistema operativo, como el menú Inicio.

Más información


La herramienta que se va a usar para una tarea de administración específica

En un entorno sin Active Directory, puede usar una variedad de herramientas para administrar la Directiva del sistema. Entre las herramientas que puede usar se incluyen las siguientes:
  • Microsoft Systems Management Server (SMS) 2003 para administrar la distribución de software
  • Kit de administración de Internet Explorer para administrar la configuración de Internet Explorer
  • Directiva del sistema para administrar la configuración basada en el registro
Además, cada equipo local tiene su propio objeto de directiva de grupo local, independientemente de si el equipo participa en un dominio. Aunque los administradores pueden configurar diversas opciones de configuración mediante el objeto de directiva de grupo local, la Directiva del sistema se ajusta más fácilmente a muchos clientes. El objeto de directiva de grupo local es útil si desea aplicar ciertas opciones de configuración a un pequeño número de clientes de Active Directory en un dominio basado en Windows NT 4,0 o en otros dominios que no sean de Active Directory. En el caso de los equipos cliente de Active Directory que funcionan en otros entornos, como en Windows NT 4,0, UNIX, Novell, o entornos mixtos, las herramientas y las capacidades de administración de escritorio varían. En la siguiente tabla se resumen las diferencias entre las herramientas de administración de escritorio y la funcionalidad de entornos de Active Directory y en entornos que no son de Active Directory.
Tarea de administraciónActive DirectoryNo Active Directory
Configure las opciones basadas en el registro para equipos y para usuarios.Plantillas administrativas implementadas mediante la Directiva de grupo. Plantillas administrativas implementadas mediante el objeto de directiva de grupo local. Directiva del sistema. Objeto de directiva de grupo local.
Administrar la seguridad local, de dominio y de red.Configuración de seguridad implementada mediante la Directiva de grupo. Configuración de seguridad implementada mediante el objeto de directiva de grupo local. Objeto de directiva de grupo local.
Instalar, actualizar y quitar software de forma centralizada.Mensajes. Distribución de software basada en la Directiva de grupo. Mensajes.
Administrar la configuración de Internet Explorer Después de la implementación.Mantenimiento de Internet Explorer en el complemento de MMC Directiva de grupo. Mantenimiento de Internet Explorer implementado mediante el objeto de directiva de grupo local. Kit de administración de Internet Explorer (IEAK). Objeto de directiva de grupo local. Kit.
Aplicar scripts durante el inicio o cierre de sesión de un usuario y durante el inicio o apagado del equipo.Los scripts de inicio o cierre de sesión y de inicio/apagado se pueden configurar de forma centralizada mediante la Directiva de grupo o independientemente usando el objeto de directiva de grupo local.Objeto de directiva de grupo local.
Administrar de forma centralizada archivos y carpetas de usuario en la red.Objeto de directiva de grupo local.Directiva del sistema. Manipulación de la configuración del registro mediante secuencias de comandos de inicio de sesión.
Administrar la configuración de usuario de forma centralizada en la red.Perfiles de usuarios móviles.Perfiles de usuarios móviles para dominios de Windows.
También puede administrar los escritorios basados en Microsoft Windows XP Professional en redes UNIX y Novell mediante protocolos basados en estándares, como TCP/IP, Protocolo simple de administración de redes (SNMP), Telnet y intercambio de paquetes entre redes (IPX). Para habilitar la administración basada en directivas en redes UNIX y Novell, use un objeto de directiva de grupo local o una directiva del sistema.

Configuración de directivas del sistema

La herramienta Poledit. exe

Las directivas del sistema se crean mediante la herramienta del editor de directivas del sistema de Windows NT 4,0 (Poledit. exe) para crear el archivo de directivas (NTconfig. pol). El Poledit. exe se instala con Windows 2000 Server y con Windows 2000 Advanced Server. puede usar la herramienta Poledit. exe en equipos con Windows XP Professional si instala el paquete herramientas administrativas incluido en Windows 2000 Server y Windows 2000 Advanced Server CDs.To instalar el paquete herramientas administrativas en un equipo basado en Windows XP Professional, abra la carpeta i386 en el CD de Windows 2000 correspondiente. y, a continuación, haga doble clic en el archivo Adminpak. msi. Siga las instrucciones que aparecen en el Asistente para la configuración de herramientas administrativas. al instalar el paquete herramientas administrativas, el archivo Poledit. exe y los archivos. adm auxiliares (Winnt. adm, Windows. ADM y Common. ADM) se instalan en la carpeta%systemroot%\System y en el directorio INF. El archivo Poledit. exe no se agrega al menú Inicio. Sin embargo, puede ejecutar la herramienta en el símbolo del sistema.Notas
  • El editor de directivas del sistema de Windows NT 4,0 o las versiones anteriores del editor de directivas del sistema no pueden leer los archivos. adm con formato Unicode que se incluyen en Windows 2000 o en versiones posteriores. Debe usar la versión del editor de directivas del sistema que se incluye con Windows 2000 o versiones posteriores. Esta versión es compatible con Unicode. Como alternativa, si se reguardan los archivos. adm como archivos. txt sin la codificación Unicode, se puede usar una versión anterior de la herramienta Poledit. exe.
  • La herramienta Poledit. exe no está incluida en el archivo Adminpak. msi de Windows Server 2003. La versión de Windows 2000 de la herramienta Poledit. exe no está disponible para su descarga desde un sitio web de Microsoft.

Plantillas administrativas

La herramienta Poledit. exe utiliza archivos que se conocen como plantillas administrativas (archivos. ADM) para determinar la configuración del registro que se puede modificar y la configuración que se muestra en el editor de directivas del sistema. la configuración de la Directiva del sistema se escribe en las siguientes ubicaciones del registro:
  • HKEY_CURRENT_USER \Software\Policies (ubicación preferida)
  • HKEY_LOCAL_MACHINE \Software\Policies (ubicación preferida)
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies
Un cliente de Active Directory procesa la Directiva del sistema si el usuario, la cuenta de equipo o ambas cuentas se encuentran en un dominio de Windows NT 4,0. El cliente busca el archivo NTConfig. pol que usa la Directiva del sistema de Windows NT 4,0. De forma predeterminada, el cliente busca este archivo en el recurso compartido Netlogon del controlador de dominio de autenticación de Windows NT 4,0.Nota Un objeto de cuenta de equipo puede existir en un dominio de Windows NT 4,0 y un objeto de cuenta de usuario para un usuario de ese equipo puede existir en un dominio de Active Directory, o viceversa. Sin embargo, cuando opera en un entorno mixto, los usuarios y equipos son difíciles de administrar y pueden provocar comportamientos imprevisibles. Para una administración centralizada óptima, le recomendamos que se traslade de un entorno mixto a un entorno puro de Active Directory.

Cómo especificar la ruta de acceso del archivo de directivas

De forma predeterminada, los clientes de Active Directory buscan el archivo de directivas en el recurso compartido Netlogon. Sin embargo, puede cambiar la ubicación de este archivo. La entrada de registro UpdateMode fuerza al equipo a recuperar el archivo de directiva de una ubicación específica que se expresa como una ruta de acceso UNC (Convención de nomenclatura universal), independientemente del usuario que inicie sesión. Puede establecer la entrada UpdateMode mediante el editor de directivas del sistema y el archivo System. adm. Sin embargo, debe contar con los permisos adecuados para localizar y leer el archivo de directivas. De lo contrario, los cambios del registro que tengan en cuenta la nueva ubicación del archivo de directivas no se aplicarán. Para modificar la entrada UpdateMode, use uno de los métodos siguientes. (Los métodos se muestran en orden de preferencia.)
  • Método 1: modificar el registro mediante el objeto de directiva de grupo local.
  • Método 2: modifique el registro con el editor del registro en cada cliente o use el programa reg. exe en un script.
  • Método 3: modificar el registro mediante la herramienta Poledit. exe. Este método es el menos recomendable porque designa la ubicación del archivo NTConfig. Pol en el propio archivo.
Método 1: modificar el registro mediante el objeto de directiva de grupo local
  1. En el menú archivo , haga clic en Abrir Registroy, a continuación, haga doble clic en equipo local.
  2. En el cuadro de diálogo propiedades , expandaredy expanda la actualización directivas del sistema para mostrar la opción actualización remota.
  3. Haga clic para seleccionar el cuadro de actualización remota .
  4. En la lista modo de actualización , haga clic para seleccionarmanual (use la ruta de acceso específica).
  5. En el cuadro ruta de actualización manual , escriba la ruta de acceso UNC y el nombre de archivo del archivo de directiva y, a continuación, haga clic enAceptar para guardar los cambios.
Método 2: modificar el registro con el editor del registro en cada cliente o usar el programa reg. exe en una secuencia de comandos
Importante Esta sección, método o tarea contiene pasos que le indican cómo modificar el registro. Sin embargo, pueden surgir problemas graves si modifica incorrectamente el registro. Por lo tanto, asegúrese de seguir estos pasos detenidamente. Para obtener una protección adicional, haga una copia de seguridad del registro antes de modificarlo. Después, puede restaurar el registro si se produce un problema. Para obtener más información sobre cómo hacer una copia de seguridad y restaurar el registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
322756 Cómo realizar una copia de seguridad y restaurar el Registro en Windows
Para asegurarse de que los clientes pueden localizar el archivo de directiva del sistema, debe configurar las siguientes claves del registro en los clientes:valor de UpdateModeesta entrada de registro determina cómo buscará el cliente el archivo NTConfig. pol que contiene las directivas. Ruta de acceso: HKEY_LOCAL_MACHINE nombre de valor de \System\CurrentControlSet\Control\Update: UpdateMode, tipo de datos: REG_DWORD valores:
ValorDescripción
0Las directivas del sistema están deshabilitadas.
1El modo automático busca un archivo de directiva denominado NTConfig. Pol en el recurso compartido Netlogon del servidor de autenticación. Este es el valor predeterminado.
1El modo manual busca el archivo de directivas especificado en la ubicación especificada por el valor NetworkPath. Si UpdateMode se establece en un valor de 2, debe especificar un valor adicional denominado NetworkPath que especifique una ruta de acceso de directiva de sistema local o de red y un nombre de archivo.
NetworkPath (valor)La configuración de NetworkPath se usa para identificar la ubicación del archivo NTConfig. pol que se usa para determinar directivas del sistema si el valor de UpdateMode es 2. ruta de acceso: HKEY_LOCAL_MACHINE \System\CurrentControlSet\Control\Update nombre del valor: NetworkPath tipo de datos: REG_SZ valores:
ValorEjemplo
Ruta de acceso UNC\\Server_name\Share_name\File_name
Ruta de acceso localC:\Folder_name\File_name
Método 3: modificar el registro mediante la herramienta Poledit. exe
Para recuperar el archivo de directivas desde una ubicación específica, siga estos pasos:
  1. Haga clic en Inicio, haga clic en Ejecutar, escriba Poledit. exey, a continuación, haga clic enAceptar.
  2. Haga clic en Opciones, en plantilla de directivay, a continuación, en el cuadro de diálogo Opciones de plantilla de directiva, asegúrese de que System. adm aparece en la lista de plantillas de directiva actuales. Si System. adm no aparece en la lista, haga clic en Agregar para agregar este archivo.
  3. Para abrir la Directiva de equipo predeterminada, haga clic en nueva Directiva en el menú archivo y, a continuación, haga doble clic enequipo predeterminado en la lista de directivas .

Comportamiento del cliente basado en Windows XP Professional

En Windows XP Professional, los cambios de Directiva se guardan localmente en el registro la primera vez que se producen los siguientes eventos:
  • Un cliente se modifica de forma local mediante el editor de directivas del sistema.
  • Un cliente recibe un archivo de directivas del sistema predeterminado desde el recurso compartido Netlogon de un controlador de dominio.
A partir de ese momento, el cliente basado en Windows XP Professional no examina de nuevo un controlador de dominio para buscar un archivo de directiva. Todas las actualizaciones de directivas usan la ubicación especificada de forma manual. Este cambio es permanente hasta que cambia el archivo de directivas para restablecer la opción en automático.

Cómo crear el archivo de directivas (NTconfig. pol)

  1. Quite todas #if instrucciones de versión y #endif de los siguientes archivos. ADM y, a continuación, guarde los archivos:
    • System.adm
    • Inetres.adm
    • Conf.adm
    Este paso evita la carga no deseada de estos archivos con la herramienta Poledit. exe. Por ejemplo, en el archivo Inetres. adm, quite estas líneas:
    • #if versión <= 2
    • #endif
  2. Haga clic en Inicio, haga clic en Ejecutar, escriba Poledit. exey, a continuación, haga clic enAceptar.
  3. En la ventana del editor de directivas del sistema, haga clic en plantilla de directiva en el menú Opciones .
  4. En el cuadro de diálogo Opciones de plantilla de directiva , haga clic en Agregar, seleccione uno de los archivos. adm que modificó en el paso 1 y haga clic en Aceptar.
  5. Especifique la configuración de directivas adecuada según se describe en la ayuda del editor de directivas del sistema.
  6. Guarde el archivo como NTConfig. Pol. Guarde el archivo en el recurso compartido Netlogon del controlador de dominio de Windows NT 4,0.

Cómo crear un archivo NTConfig. Pol basado en archivos. ADM de Windows XP Professional

Puede crear un archivo NTConfig. Pol basado en los archivos. ADM de Windows XP Professional y, a continuación, aplicar esta configuración a los clientes basados en Windows XP Professional. Para ello, use la herramienta Poledit. exe. Puede instalar Poledit. exe en clientes basados en Windows XP Professional si instala el paquete herramientas administrativas incluido en los CD de Windows 2000 Server y Windows 2000 Advanced Server.

Entornos diferentes en los que se usan las directivas del sistema

Grupos de trabajo y entornos de terceros

Si no tiene un dominio basado en Windows NT 4,0, puede configurar el cliente para que busque el archivo NTConfig. Pol en una ubicación específica del equipo local o en cualquier ubicación compartida de SMB. Para obtener más información sobre cómo especificar la ruta de acceso del archivo de directivas, consulte la sección "cómo especificar la ruta de acceso del archivo de directivas".

Dominios de Windows NT 4,0

Un cliente de Windows Active Directory procesa la Directiva del sistema si la cuenta de usuario o de equipo existe en un dominio de Windows NT 4,0. Cuando un usuario inicia sesión en un cliente de Active Directory de Windows en un dominio de Windows NT 4,0 y el cliente se ejecuta en modo automático, el cliente examina el recurso compartido de Netlogon en el controlador de dominio de validación para el archivo NTConfig. Pol. Si el cliente encuentra el archivo, el cliente lo descarga y lo analiza. El cliente analiza el archivo para los datos de directiva de usuario, grupo y equipo. Después, el cliente aplica la configuración adecuada. Si el cliente no encuentra el archivo de directivas en el controlador de dominio que lo valida, el cliente no busca en otro lugar. Por lo tanto, asegúrese de que el archivo NTConfig. pol se replica entre los controladores de dominio que realizan la autenticación.

Referencias


Si desea obtener más información, haga clic en los números de artículo siguientes para verlos en Microsoft Knowledge Base:
293655 Cómo aplicar directivas locales a todos los usuarios, excepto los administradores, en una configuración de grupo de trabajo en Windows 2000 
274478 Directivas de grupo para clientes de Windows 2000 Professional en dominios o grupos de trabajo de Windows 4,0 NT 
225087 Escribir archivos ADM personalizados para el editor de directivas del sistema 
192794 Cómo aplicar la configuración de directiva del sistema a Terminal Server 
897100 Cómo crear una directiva del sistema de Windows NT 4,0 para administrar Firewall de Windows en un dominio de Windows NT 4,0 
814598 Cómo crear una configuración de directiva del sistema en Microsoft Windows Server 2003 
268511 Cómo importar archivos Custom. adm en el kit de administración de Internet Explorer 

Referencias del kit de recursos

Parte II del kit de recursos de Windows XP (capítulo 5: administrar equipos de escritorio)Administración de escritorios en diversos entornos de redAdministrar equipos de escritorio sin Active Directory

Otros recursos

Guía de implementación de administración de cambios y configuraciones

Kit de administración de Microsoft Internet Explorer (IEAK)

Group Policy Settings Reference for Windows and Windows Server (Referencia de la configuración de las directivas de grupo para Windows y Windows Server)

Windows 2000 Server: tema avanzado: crear archivos. adm personalizados

Un archivo. adm define cómo se muestran las opciones de directiva de grupo relacionadas con el registro en los nodos plantillas administrativas de la interfaz de usuario de la Directiva de grupo. Además, el archivo. adm especifica las ubicaciones del registro que se deben modificar si un administrador debe realizar un cambio. Para descargar esta documentación, visite el siguiente sitio web de Microsoft:

Las notas del producto "uso de archivos de plantilla administrativa con directivas de grupo basadas en el registro"

En el documento "usar archivos de plantilla administrativa con directivas de grupo basadas en el registro" se explican los conceptos, la arquitectura y los detalles de implementación para directivas de grupo basadas en el registro en sistemas operativos Microsoft Windows. En este artículo se describe cómo crear archivos de plantilla administrativa (. ADM) personalizados y se incluye una referencia completa para el idioma. adm.

Plantilla de directiva de Firewall de Windows para dominios de Windows NT 4,0

Puede administrar las directivas de Firewall de Windows desde los dominios de Windows NT 4,0 aplicando esta plantilla.

Archivos. ADM de directiva de grupo

Los archivos de plantillas administrativas se usan para rellenar la configuración de la interfaz de usuario en el editor de objetos de directiva de grupo. Los administradores pueden usar estos archivos para administrar la configuración de la directiva basada en el registro. Cada sistema operativo Windows y Service Pack sucesivos incluye una versión más reciente de estos archivos. adm.Anteriormente, los clientes solo podían obtener los archivos. adm más recientes con el Service Pack o el sistema operativo más reciente. Ahora, estos archivos. adm están disponibles directamente desde el siguiente sitio web de Microsoft:Puede obtener la versión original de los archivos. adm que se incluyen con cada sistema operativo o Service Pack. Cada conjunto de archivos. adm está incluido en un paquete de Microsoft Windows Installer que puede descargar.