Saltar a contenido

4.6. Gestión y troubleshooting de GPO

Qué verás en este apartado

  • Cómo gestionar el ciclo de vida de las GPO (backup, restore, import/export, delegación y versionado).
  • Cómo diagnosticar por qué una GPO no aplica o aplica de forma inesperada (LSDOU, herencia, Enforced/Block, filtrado, WMI, loopback, replicación).
  • Cómo usar GPMC (Modeling/Results), gpresult/rsop.msc y el Visor de eventos para obtener el conjunto resultante de directivas (RSoP).

Para qué sirve

  • Acelerar la resolución de incidencias de GPO en aula/laboratorio y producción.
  • Estandarizar el análisis con un checklist de verificación.
  • Reducir errores de configuración y tiempos de diagnóstico.

Herramientas clave

  • GPMC (Group Policy Management Console): Backup/Restore/Import, Modeling (Planificación), Results (Resultados).
  • Cliente: gpupdate, gpresult /r y gpresult /h, rsop.msc (Resultant Set of Policy).
  • Visor de eventos: Applications and Services Logs → Microsoft → Windows → GroupPolicy/Operational.
  • AD/Replicación: dcdiag, repadmin /replsummary y estado de DFS-R para SYSVOL.

Gestión de GPO (GPMC)

  • Backup: GPMC → Group Policy Objects → botón derecho → Back Up. Recomendado tras cambios relevantes.
  • Restore/Import: restaura una GPO o importa configuración a una GPO nueva/existente.
  • Delegación: GPMC → GPO → Delegation para otorgar Edit, Read, Link.
  • Comentarios y versionado: anota propósito y cambios; usa carpetas de backup con fecha.

Diagnóstico rápido (checklist)

  1. Forzar actualización en el cliente: gpupdate /force (o /target:computer|user).
  2. Ver resultado efectivo: gpresult /r o gpresult /h c:\temp\gpo.html y rsop.msc.
  3. Revisar Eventos: GroupPolicy/Operational en el cliente para errores de CSE (extensiones de cliente).
  4. Confirmar vínculo y orden: GPMC → OU/Dominio → Linked GPOs (orden y si está Enforced).
  5. Ver herencia/bloqueos: comprobar “Block Inheritance” y “Enforced”.
  6. Filtrado de seguridad: la GPO requiere permisos “Read” + “Apply group policy” para el objeto o su grupo.
  7. Filtros WMI: validar que el equipo/usuario cumple la consulta (GPMC → WMI Filters → Query).
  8. Ámbito correcto: ¿la configuración es de Equipo o de Usuario? ¿Aplica donde corresponde? ¿Loopback activo?
  9. Replicación: dcdiag y repadmin /replsummary; revisar DFS-R de SYSVOL.

Troubleshooting por causa

  • Herencia/Orden (LSDOU): la última GPO en aplicar prevalece. Revisa el orden en la OU objetivo.
  • Enforced y Block Inheritance: “Enforced” hace prevalecer, “Block Inheritance” bloquea GPOs superiores.
  • Filtrado de seguridad: añade el grupo/objeto a Security Filtering o cambia permisos en la pestaña Delegation.
  • Filtro WMI no coincide: simplificar consulta, probar con wmic/PowerShell y revisar versión de SO/propiedades.
  • Loopback (User settings on Computer): habilitar en Equipo → Políticas → Administrativo → Sistema → Group Policy.
  • CSE específicas fallan (Drive Maps, Printers, AppLocker...): revisar sus eventos y dependencias (servicios, rutas UNC, permisos, AppIDSvc).
  • Replicación: latencias entre DCs pueden causar “políticas antiguas”; esperar o forzar replicación.

Comandos útiles (PowerShell)

# Informe HTML de resultado de directivas
gpresult /h C:\temp\gpo.html

# Resumen de replicación de AD
repadmin /replsummary

# Copia de seguridad de una GPO por nombre
Backup-GPO -Name "GPO-Base-Equipos" -Path "C:\\Backups\\GPO"

Verificación

  • Tras cambios: gpupdate /force y revisión con gpresult/rsop.msc.
  • Validar en varios clientes/usuarios (y en distintas sub-OUs si aplica) para descartar problemas de alcance.
  • Confirmar ausencia de errores en GroupPolicy/Operational; si existen, leer el ID/evento y actuar según CSE.

Buenas prácticas

  • Menos GPOs y más claras; documentar propósito, alcance y dependencias.
  • Usar grupos para Security Filtering; evitar vincular GPOs al dominio salvo necesidad.
  • Probar en OU de Staging antes de producción. Hacer Backup antes de cambios grandes.
  • Mantener Central Store ADMX/ADML actualizado para evitar inconsistencias entre consolas.

Enlaces útiles

  • Referencia de configuración de directivas de seguridad https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/how-to-configure-security-policy-settings
  • AppLocker docs https://learn.microsoft.com/en-us/windows/security/application-security/application-control/applocker/applocker-overview

Práctica AWS relacionada

Aplica técnicas de diagnóstico en instancias EC2 uniéndolas a dominio y reproduciendo escenarios típicos con la guía: 9. Troubleshooting de GPO en EC2