Actualizar plantillas administrativas
En más de una ocasión nos encontraremos que la versión de nuestro controlador de dominio (DC) es inferior a la versión de Windows de nuestros equipos cliente y por consiguiente no disponemos de todas las GPO para poder realizar ciertas configuraciones en el lado del cliente, propias de la versión actual.
Con la aparición de Windows 10 y la nueva política de actualizaciones del sistema por parte de Microsoft, el proceso de actualización de dichas plantillas administrativas se debería realizar con más frecuencia.
Refrescando información recordamos que de forma predeterminada los archivos de configuración de las GPOs se encuentran en el path C:\Windows\PolicyDefinitions. En esta carpeta encontraremos los archivos de referencia a las claves que son los .admx y por otra parte los archivos de referencia a las descripciones y ayudas con extensión .adml, estos últimos se guardaran en carpetas referenciadas por idioma.
Actualización Plantillas Administrativas
Paso 1.- Debemos descargar las nuevas plantillas administrativas, para ello buscamos las correspondientes a la versión que queramos actualizar.
En este caso sería:
Administrative Templates (.admx) for Windows 10 October 2018 Update (1809)
https://www.microsoft.com/en-us/download/details.aspx?id=57576
Paso 2.- Una vez descargado el archive procedemos a la instalación, siguiendo los diferentes pasos.
Paso 3.- Una vez realizada la instalación comprobamos que que tenemos los archivos en la siguiente ubicación
C:\Program Files (x86)\Microsoft Group Policy\Windows 10 October 2018 Update (1809) v2
Paso 4.- Procedemos a realizar una copia de los archivos .admx que estan en la raíz de esta carpeta y las carpetas de los idioma de nuestro Sistema Actual.
A menos que no se cambie el idioma del sistema de nuestro DC, no se utilizarán las carpetas de los otros idiomas, como norma yo suelo copiar la carpeta del idioma en cuestión y la de ingles: es-es y en-us
Paso 5.- Copiamos los archivos en la carpeta ubicada en C:\Windows\PolicyDefinitions. Antes de realizar este paso de copiar los archivos en esta ubicación, debemos realizar un cambio en los permisos de NTFS.
Podemos ver como el grupo de seguridad «Administradores», dispone de: «Lectura/Ejecución», pero no de: «Escritura» y además el propietario de los ficheros, no es el grupo de administradores, sino que es: «Trusted Installer»
Esta configuración nos impide sustituir los archivos en esta carpeta por lo que deberemos de cambiar el propietario por administrador del dominio y propagar dicha configuración en todas las carpetas y archivos.
Realizaremos el cambio de propietario por «admin. del dominio» y propagaremos los permisos marcando rremplazar el propietario y entradas de permisos en todos los archivos y carpetas.
* Recomendado realizar una la copia de los ficheros de esta carpeta, ya que muchos ficheros serán sobreescritos.
Una vez realizada la copia ya podemos abrir de nueva la consola, donde nos aparecerán ya las nuevas GPOs de la versión correspondiente.
Configuración de GPOs Central Storage
Como hemos comentado, por defecto los DC guardan las plantillas administrativas de forma local en la ubicación C:\Windows\PolicyDefinitions, por lo tanto, si nuestra infraestructura tiene más de un controlador de dominio, dicha actualización la deberemos hacer en cada uno.
Para comprobar si esto es así, podemos abrir la consola “Administración de directivas de grupo” y editamos cualquier GPO que tengamos creadas y al acceder a las claves de plantillas administrativas podremos ver que nos aparece el siguiente comentario “recuperadas del equipo local”
Esto lo podemos evitar configurando GPO Central Store, para ello basta con copiar la carpeta PolicyDefinitions ubicada en C:\Windows a la carpeta de SYSVOL, donde residen las políticas de grupo del dominio
C:\Windows\SYSVOL\sysvol\dominio-de-AD\Policies
Si volvemos acceder a la consola “Administración de directivas de grupo” y editamos cualquier GPO que tengamos creadas, veremos que el comentario que ahora aparece es “recuperadas del almacen central”
La ventaja de tener configurado GPO Central Store es que a cuando tengamos que actualizar las plantillas siempre lo realizaremos sobre un único sitio o DC y al estar en el SYSVOL esta se replicara a todos los demás DC.
