Recomendaciones para administrar archivos de plantilla administrativa de directiva de grupo (.adm)


Resumen


En este artículo se describe cómo funcionan los archivos ADM, la configuración de directiva que está disponible para administrar su operación y recomendaciones sobre cómo controlar escenarios comunes de administración de archivos ADM. Nota Se recomienda usar Windows Vista para administrar la infraestructura de directiva de grupo mediante un almacén central. Esta recomendación es verdadera incluso cuando el entorno tiene una combinación de clientes y servidores de nivel inferior, como equipos que ejecutan Windows XP o Windows Server 2003. Windows Vista usa un nuevo modelo que emplea archivos ADMX y ADML para administrar plantillas de directiva de grupo. Para obtener más información, visite los siguientes sitios Web:
Windows XP: No te olvides de mí... http://blogs.technet.com/grouppolicy/archive/2006/08/31/453147.aspx Implementación de directiva de grupo mediante Windows Vistahttp://technet.microsoft.com/en-us/library/cc766208.aspxCómo crear un almacén central para plantillas administrativas de directiva de grupo en Windows Vistahttp://support.microsoft.com/kb/929841
Si debe usar equipos basados en Windows XP o Windows Server 2003 para administrar la infraestructura de directiva de grupo, consulte las recomendaciones de este artículo.

Introducción a los archivos ADM

Los archivos ADM son archivos de plantilla que las directivas de grupo utilizan para describir dónde se almacena la configuración de directiva basada en el registro en el registro. Los archivos ADM también describen la interfaz de usuario que los administradores ven en el complemento Editor de objetos de directiva de grupo.

Almacenamiento de archivos ADM y valores predeterminados

En la carpeta Sysvol de cada controlador de dominio, cada GPO de dominio mantiene una sola carpeta y esta carpeta se denomina plantilla de directiva de grupo (GPT). El GPT almacena todos los archivos ADM que se usaron en el Editor de objetos de directiva de grupo cuando se crearon o editaron por última vez los GPO. Cada sistema operativo incluye un conjunto estándar de archivos ADM. Estos archivos estándar son los archivos predeterminados que carga el Editor de objetos de directiva de grupo. Por ejemplo, Windows Server 2003 incluye los siguientes archivos ADM:
  • System.adm
  • Inetres.adm
  • Conf.adm
  • Wmplayer.adm
  • Wuau.adm

Archivos ADM personalizados

Los desarrolladores de programas o profesionales de TI pueden crear archivos ADM personalizados para ampliar el uso de la configuración de directivas basada en el registro a nuevos programas y componentes. Nota Los programas y componentes deben diseñarse y codificarse para reconocer y responder a la configuración de directiva que se describe en el archivo ADM. Para cargar archivos ADM en el Editor de objetos de directiva de grupo:
  1. Inicie el Editor de objetos de directiva de grupo.
  2. Haga clic con el botón secundario en Plantillas administrativasy, a continuación, haga clic en Agregar o quitar plantillas. Nota Las plantillas administrativas están disponibles enConfiguración de equipo o usuario. Seleccione la configuración correcta para la plantilla personalizada.
  3. Haga clic en Agregar.
  4. Haga clic en un archivo ADM y, a continuación, haga clic enAbrir.
  5. Haga clic en Cerrar.
  6. La configuración de directiva de archivo ADM personalizada ahora está disponible en el Editor de objetos de directiva de grupo.

Actualizar archivos ADM y marcas de tiempo

Cada estación de trabajo administrativa que se usa para ejecutar el Editor de objetos de directiva de grupo almacena los archivos ADM en la carpeta %windir%-Inf. Cuando se crean y editan por primera vez los GPO, los archivos ADM de esta carpeta se copian en la subcarpeta Adm de la GPT. Esto incluye los archivos ADM estándar y los archivos ADM personalizados que agrega el administrador. Nota Crear un GPO sin editar más adelante ese GPO crea un GPT sin ningún archivo ADM. De forma predeterminada, cuando se editan los GPO, el Editor de objetos de directiva de grupo compara las marcas de tiempo de los archivos ADM de la carpeta %windir%-Inf de la estación de trabajo con las que se almacenan en la carpeta Adm de GPT. Si los archivos de la estación de trabajo son más recientes, el Editor de objetos de directiva de grupo copia estos archivos en la carpeta ADM de GPT, sobrescribiendo los archivos existentes con el mismo nombre. Esta comparación se produce cuando se selecciona el nodo Plantillas administrativas (configuración de equipo o usuario) en el Editor de objetos de directiva de grupo, independientemente de si el administrador edita realmente el GPO. Nota Los archivos ADM almacenados en el GPT se pueden actualizar mediante la visualización de un GPO en el Editor de objetos de directiva de grupo. Debido a la importancia de las marcas de tiempo en la administración de archivos ADM, no se recomienda la edición de archivos ADM proporcionados por el sistema. Si se requiere una nueva configuración de directiva, Microsoft recomienda crear un archivo ADM personalizado. Esto evita la sustitución de los archivos ADM suministrados por el sistema cuando se liberan service Packs.

Consola de administración de directivas de grupo

De forma predeterminada, la Consola de administración de directivas de grupo (GPMC) siempre usa archivos ADM locales, independientemente de su marca de tiempo, y nunca copia los archivos ADM en Sysvol. Si no se encuentra un archivo ADM, GPMC busca el archivo ADM en la GPT. Además, el usuario de GPMC puede especificar una ubicación alternativa para los archivos ADM. Si se especifica una ubicación alternativa, esta ubicación alternativa tiene prioridad.

Replicación de GPO

El servicio de replicación de archivos (FRS) replica los GPT de los GPO en todo el dominio. Como parte de la GPT, la subcarpeta Adm se replica en todos los controladores de dominio del dominio. Dado que cada GPO almacena varios archivos ADM y algunos pueden ser bastante grandes, debe comprender cómo los archivos ADM que se agregan o actualizan al usar el Editor de objetos de directiva de grupo pueden afectar al tráfico de replicación.

Utilice la configuración de directiva para controlar las actualizaciones de archivos ADM

Dos áreas de configuración de directiva disponibles para ayudar con la administración de archivos ADM. Esta configuración permite al administrador ajustar el uso de archivos ADM para un entorno específico. Estos son los ajustes "Desactivar actualizaciones automáticas de archivos ADM" y "Usar siempre archivos ADM locales para el Editor de directivas de grupo".

Desactivar las actualizaciones automáticas de archivos ADM

Esta configuración de directiva está disponible en Configuración de usuario, Plantillas administrativas, Sistema, Directiva de grupo en Windows Server 2003, En Windows XP y en Windows 2000. Esta configuración se puede aplicar a cualquier cliente habilitado para directivas de grupo.

Utilice siempre archivos ADM locales para el editor de directivas de grupo

Esta configuración de directiva está disponible en Configuración del equipo, Plantillas administrativas, Sistema, Directiva de grupo. Esta es una nueva configuración de directiva. Solo se puede aplicar correctamente a los clientes de Windows Server 2003. La configuración se puede implementar en clientes más antiguos, pero no tendrá ningún efecto en su comportamiento. Si esta opción está habilitada, el Editor de objetos de directiva de grupo siempre usa archivos ADM locales en la carpeta %windir%-Inf del sistema local al editar un objeto de directiva de grupo. Nota Si esta configuración de directiva está habilitada, la configuración de directiva Desactivar actualizaciones automáticas de archivos ADM está implícita.

Escenarios y recomendaciones comunes

Problemas de administración multilenguaje

En algunos entornos, es posible que la configuración de directiva deba presentarse a la interfaz de usuario en diferentes idiomas. Por ejemplo, es posible que un administrador de Estados Unidos desee ver la configuración de directiva de un GPO específico en inglés y un administrador en Francia puede querer ver el mismo GPO utilizando el francés como idioma preferido. Dado que la GPT solo puede almacenar un conjunto de archivos ADM, no puede utilizar la GPT para almacenar archivos ADM para ambos idiomas. Para Windows 2000, no se admite el uso de archivos ADM locales por el Editor de objetos de directiva de grupo. Para evitar esto, utilice la configuración de directiva "Desactivar actualizaciones automáticas de archivos ADM". Dado que esta configuración de directiva no afecta a la creación de nuevos GPO, los archivos ADM locales se cargarán en la GPT en Windows 2000 y la creación de un GPO en Windows 2000 define eficazmente "el idioma del GPO". Si la configuración de directiva "Desactivar actualizaciones automáticas de archivos ADM" está en vigor en todas las estaciones de trabajo de Windows 2000, el idioma de los archivos ADM en el GPT se definirá por el idioma del equipo que se utiliza para crear el GPO. Para los administradores que usan Windows XP y Windows Server 2003, se puede usar la configuración de directiva "Usar siempre archivos ADM locales para el editor de directivas de grupo". Esto permite al administrador francés ver la configuración de directiva mediante los archivos ADM que se instalan localmente en su estación de trabajo (francés), independientemente del archivo ADM que se almacena en la GPT. Tenga en cuenta que cuando se utiliza esta configuración de directiva, se da a entender que la configuración de directiva "Desactivar actualizaciones automáticas de archivos ADM" está habilitada para evitar actualizaciones innecesarias de los archivos ADM a la GPT. Además, considere la posibilidad de estandarizar el sistema operativo más reciente de Microsoft para estaciones de trabajo administrativas en un entorno administrativo multi-idioma. A continuación, configure las opciones de directiva "Usar siempre archivos ADM locales para el editor de directivas de grupo" y "Desactivar actualizaciones automáticas de archivos ADM". Si se utilizan estaciones de trabajo de Windows 2000, utilice la configuración de directiva "Desactivar actualizaciones automáticas de archivos ADM" para los administradores y considere que los archivos ADM de la GPT son el idioma eficaz para todas las estaciones de trabajo de Windows 2000. Nota Las estaciones de trabajo de Windows XP pueden seguir utilizando sus versiones locales específicas del idioma.

Problemas de liberación del sistema operativo y del Service Pack

Cada versión del sistema operativo o Service Pack incluye un superconjunto de los archivos ADM proporcionados por versiones anteriores, incluida la configuración de directiva que es específica de los sistemas operativos que son diferentes de los de la nueva versión. Por ejemplo, los archivos ADM que se proporcionan con Windows Server 2003 incluyen todas las opciones de directiva para todos los sistemas operativos, incluidos los que solo son relevantes para Windows 2000 o Windows XP Professional. Esto significa que solo ver un GPO desde un equipo con la nueva versión de un sistema operativo o Service Pack actualiza eficazmente los archivos ADM. Como las versiones posteriores suelen ser un superconjunto de archivos ADM anteriores, esto no suele crear problemas, suponiendo que los archivos ADM que se están utilizando no se han editado. En algunas situaciones, un sistema operativo o una versión de Service Pack puede incluir un subconjunto de los archivos ADM que se proporcionaban con versiones anteriores. Esto tiene el potencial de presentar un subconjunto anterior de los archivos ADM, lo que hace que la configuración de directiva ya no sea visible para los administradores cuando usan el Editor de objetos de directiva de grupo. Sin embargo, la configuración de directiva permanecerá activa en el GPO. Solo se ve afectada la visibilidad de la configuración de directiva en el Editor de objetos de directiva de grupo. Cualquier configuración de directiva activa (habilitada o deshabilitada) no está visible en el Editor de objetos de directiva de grupo, pero permanece activa. Dado que la configuración no está visible, no es posible que el administrador vea o edite esta configuración de directiva. Para evitar este problema, los administradores deben familiarizarse con los archivos ADM que se incluyen con cada sistema operativo o versión de Service Pack antes de usar el Editor de objetos de directiva de grupo en ese sistema operativo, teniendo en cuenta que el acto de ver un GPO es lo suficiente para actualizar los archivos ADM en la GPT, cuando la comparación de marca de tiempo determina que una actualización es adecuada. Para planear esto en su entorno, Microsoft recomienda que:
  • Defina un sistema operativo/service pack estándar desde el que se produzca toda la visualización y edición de GPO, asegurándose de que los archivos ADM que se utilizan incluyen la configuración de directiva para todas las plataformas.
  • Use la configuración de directiva "Desactivar actualizaciones automáticas de archivos ADM" para todos los administradores de directivas de grupo para asegurarse de que los archivos ADM no se sobrescriben en la GPT por ninguna sesión del Editor de objetos de directiva de grupo y asegúrese de que está utilizando los archivos ADM más recientes que están utilizando disponible en Microsoft.
Nota La directiva "Usar siempre archivos ADM locales para el editor de directivas de grupo" se utiliza normalmente con esta directiva, cuando es compatible con el sistema operativo desde el que se ejecuta el Editor de objetos de directiva de grupo.

Eliminar archivos ADM de la carpeta Sysvol

De forma predeterminada, los archivos ADM se almacenan en la GPT, y esto puede aumentar significativamente el tamaño de la carpeta Sysvol. Además, la edición frecuente de GPO puede dar lugar a una cantidad significativa de tráfico de replicación. El uso de una combinación de la configuración de directiva "Desactivar actualizaciones automáticas de archivos ADM" y "Usar siempre archivos ADM locales para el editor de directivas de grupo" puede reducir en gran medida el tamaño de la carpeta Sysvol y reducir el tráfico de replicación relacionado con las directivas, donde un número significativo de se producen ediciones de políticas. Si el tamaño del volumen de Sysvol o del tráfico de replicación relacionado con la directiva de grupo se vuelve problemático, considere la posibilidad de implementar un entorno en el que Sysvol no almacene ningún archivo ADM. O considere la posibilidad de mantener archivos ADM en estaciones de trabajo administrativas. Este proceso se describe en la siguiente sección. Para borrar la carpeta Sysvol de archivos ADM:
  1. Habilite la configuración de directiva "Desactivar la actualización automática de archivos ADM" para todos los administradores de directivas de grupo que van a editar GPO.
  2. Asegúrese de que se ha aplicado esta directiva.
  3. Copie las plantillas de ADM personalizadas en la carpeta %windir%-Inf.
  4. Edite los GPO existentes y, a continuación, quite todos los archivos ADM de la GPT. Para ello, haga clic con el botón secundario en Plantillas administrativasy, a continuación, haga clic en Agregar o quitar plantilla.
  5. Habilite la configuración de directiva "Usar siempre archivos ADM locales para la edición de objetos de directiva de grupo" para estaciones de trabajo administrativas.

Mantener archivos ADM en estaciones de trabajo administrativas

Cuando utilice la configuración de directiva "Usar siempre archivos ADM locales para el editor de directivas de grupo", asegúrese de que cada estación de trabajo tiene la versión más reciente de los archivos ADM predeterminados y personalizados. Si todos los archivos ADM no están disponibles localmente, algunas opciones de configuración de directiva contenidas en un GPO no serán visibles para el administrador. Evite esto mediante la implementación de un sistema operativo estándar y la versión de Service Pack para todos los administradores. Si no puede utilizar un sistema operativo estándar y un Service Pack, implemente un proceso para distribuir los archivos ADM más recientes a todas las estaciones de trabajo administrativas. Nota Debido a que los archivos ADM de la estación de trabajo se almacenan en la carpeta %windir%-Inf, cualquier proceso que se utiliza para distribuir estos archivos debe ejecutarse en el contexto de una cuenta que tenga credenciales administrativas en la estación de trabajo. Nota Windows XP no admite la edición de GPO cuando no hay archivos ADM en la carpeta Sysvol. En un entorno activo, debe tener en cuenta esta limitación de diseño.

Referencias


Para obtener más información acerca de las directivas de grupo en Windows Server 2003, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
316977 Comportamiento de la plantilla de directiva de grupo en Windows Server 2003