Siga este tutorial para aprender a gestionar las actualizaciones de Global Policy Objects de forma local y remota utilizando la CLI y PowerShell.
Para los administradores de sistemas de redes basadas en Windows, no hay mayor paquete de control que Systems Center Configuration Manager (SCCM. Sin embargo, para todos los entornos empresariales, salvo el más grande, el coste sigue siendo prohibitivo.
Más información sobre Windows
Esta es la razón por la que Microsoft ha hecho grandes avances para ayudar a las PYMES a obtener un mayor control de su infraestructura con tecnologías como Group Policy (GP), Microsoft Deployment Toolkit (MDT) y PowerShell.
Esta forma de proceder se centra en ser capaz de gestionar la propagación GP. Destaco los comandos útiles que se utilizan para determinar la herencia del GP y explico cómo aplicar objetos de directiva de grupo (GPO) de forma local y remota.
Requisitos
- Clientes que ejecutan Windows Vista
- Políticas de grupo configuradas y aplicadas a ordenadores y/o usuarios
Determinar la herencia de GPO (sólo local)
¿Qué es esto?
Gpresult /v >C:\resultados.txt ()
¿Qué es lo que hace?
El comando gpresult, que se ejecuta a través del CLI, ofrece una lectura de todos los GPOs aplicados al ordenador. Por defecto, la visualización se imprime en pantalla; sin embargo, si se añade el argumento /v>C:\results.txt, la información se enviará a un archivo de texto y se guardará en la raíz de la unidad para su revisión.
¿En qué ayuda?
Este comando identifica qué GPOs asignados no están aplicando los ajustes configurados a una estación de trabajo. Normalmente se utiliza junto con el comando gpupdate para asegurarse de que se están aplicando las últimas configuraciones desde el controlador de dominio.
Actualizar la configuración GP desde el controlador de dominio (sólo local)
¿Qué es esto?
Gpupdate /force )
¿Qué es lo que hace?
Este comando obligará al cliente a verificar con el controlador de dominio para aplicar los GPOs más recientes disponibles que estén asignados a la estación de trabajo. Al ejecutar el comando con el argumento /force, se ignora la consulta predeterminada de 30 minutos para GPOs actualizadas, y el equipo comprueba con el controlador de dominio para aplicar los cambios de configuración disponibles inmediatamente.
¿En qué ayuda?
Normalmente, los dominios de Active Directory (AD) replicarán los cambios realizados en la topología después de que haya transcurrido un tiempo finito desde el cambio inicial. De forma predeterminada, después del cambio inicial, AD iniciará un temporizador de cuenta atrás que propagará los cambios que se hayan producido durante ese período de tiempo a todos los controladores de dominio de AD.
Dependiendo del tamaño de la red, la cantidad de datos que requieren replicación y cualquier latencia que pueda introducirse entre conexiones de sitio a sitio, puede tomar una cantidad considerable de tiempo para que los cambios ejecutados en un sitio se repliquen a través de la LAN/WAN a otro sitio. Gpupdate reduce este retraso considerablemente al permitir a cada cliente consultar al controlador de dominio cualquier cambio inmediatamente.
Nota: Los dos comandos mencionados anteriormente se ejecutan desde la interfaz de línea de comandos (CLI) y requieren que los comandos se ejecuten en cada equipo localmente. Los comandos pueden ejecutarse manualmente, mediante scripts o a través de una aplicación de terceros, como PSExec. Para ejecutarlo de forma remota a través de PowerShell, consulte el comando Invocar-GPUpdate a continuación.
Actualizar o sincronizar actualizaciones de GP (remoto/local)
¿Qué es esto?
Invoke-GPUpdate -Computer ComputerName -Force )
¿Qué es lo que hace?
Usando PowerShell, un administrador de sistemas puede lograr un mayor y más granular control sobre los sistemas locales y remotos. En este caso, usar el comando Invoke-GPUpdate con el parámetro -ComputerName le permitirá seleccionar remotamente una computadora por su nombre de host, nombre DNS o dirección IP y ejecutar el comando en ella. Si se especifica el conmutador -Force, se volverán a aplicar los ajustes GP en el equipo de destino, mientras que el conmutador -Sync ejecuta la actualización de los ajustes en primer plano inmediatamente.
¿En qué ayuda?
Al igual que el comando gpupdate de la sección anterior, su equivalente en PowerShell ofrece el mismo control sobre las estaciones de trabajo y la ejecución de actualizaciones de la configuración de GPO.
Se diferencia en que el cmdlet Invoke-GPUpdate PS permitirá que se ejecute tanto en un dispositivo local como de forma remota. Además, se puede incluir una lista de nombres de equipos en el comando Invocar-GPUpdate, lo que permite que se ejecute en varios equipos remotos sólo desde la estación de administración. El comando también puede estar programado o ejecutarse a través de aplicaciones de terceros, según sea necesario.
Comparte tus experiencias
¿Ha implementado GP en su organización? Si es así, ¿cuál es la mejor manera de administrar la configuración de sus estaciones de trabajo? Nos encantaría saber de usted; por favor, responda a continuación en los comentarios.