Joan zuzenean edukira

4.3. Plantillas administrativas y Preferencias (GPP)

  • Objetivos
  • Conocer la diferencia entre Políticas (Administrative Templates) y Preferencias (GPP).
  • Aprender a mantener un Central Store para ADMX/ADML.
  • Desplegar configuración de usuario/equipo con GPP e Item-Level Targeting.

Qué es

  • Políticas: ajustes gestionados definidos por plantillas ADMX/ADML que Windows aplica y reimpone.
  • Preferencias (GPP): elementos de configuración (unidades, impresoras, accesos, tareas, registro, archivos) que Windows puede crear/modificar según targeting.
  • ADMX/ADML: definiciones de plantillas (ADMX) y recursos por idioma (ADML) usadas por las Políticas.
  • Central Store: repositorio en SYSVOL con las ADMX/ADML para que todas las consolas usen la misma versión.

Para qué sirve

  • Estandarizar configuración de usuarios y equipos sin scripts complejos.
  • Mapear recursos (unidades, impresoras), desplegar accesos y claves de registro.
  • Aplicar configuraciones según condiciones (grupos, OUs, sitio, versión de SO, IP) con ILT.
  • Evitar “deriva” de configuración: Políticas reimponen; Preferencias pueden aplicarse una vez o en cada actualización.

Cómo hacerlo

Políticas vs Preferencias

  • Políticas (Administrative Templates)
  • Escriben en áreas gestionadas (Policy). Toman precedencia y se re-aplican; el usuario no puede cambiarlas de forma persistente.
  • Se definen mediante plantillas ADMX/ADML.
  • Preferencias (GPP)
  • Crean/modifican elementos (unidades, impresoras, entradas de registro, archivos, tareas...).
  • Pueden marcarse como “Aplicar una vez y no volver a aplicar”. Menor precedencia; el usuario podría modificarlas después salvo re-aplicación.

ADMX/ADML y Central Store

  • ADMX: definiciones neutrales en idioma. ADML: recursos por idioma.
  • Central Store recomendado para homogeneidad entre consolas GPMC:
  • Ruta: \\<dominio>\SYSVOL\<dominio>\Policies\PolicyDefinitions
  • Copia ahí los ADMX/ADML actualizados (por ejemplo desde C:\Windows\PolicyDefinitions de un equipo actualizado).
  • Verificación: GPMC → Administrative Templates indica “Policy definitions (ADMX files) retrieved from the central store”.

Elementos comunes de GPP

  • Drives (Mapeo de unidades)
  • Printers (Impresoras)
  • Shortcuts (Accesos directos)
  • Registry (HKLM/HKCU)
  • Files/Folders (copiar, reemplazar, borrar)
  • Environment, Scheduled Tasks, Services, INI, etc.

Item-Level Targeting (ILT)

  • Permite aplicar cada elemento de GPP según condiciones: pertenencia a grupo, OU, sitio, SO, IP, variable de entorno, etc.
  • Se configura por elemento: pestaña Common → “Item-level targeting”.

Procedimiento (GUI)

  • Central Store: crear carpeta PolicyDefinitions en SYSVOL y copiar ADMX/ADML.
  • Políticas: GPMC → Editar GPO → Administrative Templates → configurar ajustes.
  • Preferencias: GPMC → Preferences → crear elementos (Drives/Printers/Shortcuts/Registry/Files...) y definir ILT.

Procedimiento (PowerShell)

# Crear GPO base
$gpo = New-GPO -Name "GPO-Preferencias-Base"

# Vincular la GPO a una OU
New-GPLink -Name $gpo.DisplayName -Target "OU=Equipos,DC=example,DC=local"

# Ejemplo de Policy (no GPP): establecer un valor de registro en área Policies
# Set-GPRegistryValue -Name $gpo.DisplayName -Key "HKLM:\\Software\\Policies\\..." -ValueName "..." -Type DWord -Value 1

Nota: La creación de elementos GPP (Drives/Printers/Shortcuts) se realiza desde el editor de GPO (GUI). Para automatizar, usar herramientas de terceros o exportar/importar el GPO.

Verificación

  • gpresult /r o gpresult /h c:\\temp\\gpo.html para confirmar que la GPO y los elementos GPP se aplican.
  • Comprobar en el cliente: unidad mapeada, impresora instalada, acceso directo creado, etc.

Errores comunes

  • Sin Central Store: discrepancias de versiones ADMX entre consolas → resultados inconsistentes.
  • ILT demasiado complejo: ralentiza el inicio de sesión. Simplificar condiciones y reutilizar targets.
  • Confundir Políticas con Preferencias: cambios no persistentes si se esperaba una Política.
  • Falta de permisos para aplicar GPO: revisar Security Filtering y pertenencia a grupos.

Buenas prácticas

  • Mantener Central Store actualizado (versionado y control de cambios).
  • Documentar cada elemento GPP (propósito y targeting).
  • Probar en OU=Staging antes de producción.

Práctica AWS relacionada

Despliega GPP (unidades, impresoras, accesos) e ILT paso a paso en AWS con la guía: 8. Despliegue con GPP (map drives, printers, atajos)