Cuando aplicas un objeto de directiva de grupo (GPO) de Active Directory (AD) en cientos o incluso miles de computadoras objetivo, es probable que lleve un tiempo que todas las reciban. ¿Cómo sabes cuándo una computadora recibe una nueva directiva o recupera ajustes de directiva actualizados? Usando la herramienta RSOP.
La herramienta RSOP o Resultant Set Of Policy, es una herramienta incorporada de Windows que te permite descubrir qué ajustes de directiva se aplican a computadoras locales y remotas. Si te preguntas qué configuración establecen los GPO en tu PC, sigue leyendo!
Comencemos.
Prerrequisitos
Este tutorial se realizará a través de algunas demostraciones diferentes. Si deseas seguir el tutorial, asegúrate de tener lo siguiente:
- Un dominio de Active Directory: cualquier versión de AD funcionará. Este tutorial utilizará un dominio llamado HomeLab.Local.
- A domain-joined Windows PC with at least one GPO applied to it to test local GPOs. This tutorial will use a PC called Win10VM1.
- A second domain-joined Windows PC if you want to run RSOP remotely. This tutorial will use a PC called Win10VM3.
- Puertos TCP 445, 135, puertos dinámicos RPC, y todos los puertos para WMI están abiertos en la computadora remota. Puede crear una GPO inicial llamada Puertos de Firewall de Informe de Directiva de Grupo para asegurarse de que todos los puertos estén abiertos.
- Derechos de administrador local tanto en la PC local como en la PC remota.
- A GPO with an AD group configured with deny permissions. DeniedGPOUsers AD group with no users added to it and deny permissions will be used in this tutorial.
¿Qué es la herramienta RSOP?
Cuando asigna una GPO a una computadora en Active Directory, esa computadora debería comunicarse con el controlador de dominio y, según el intervalo de actualización de GPO definido, pronto verá esa GPO e intentará aplicar las configuraciones que la GPO define.
Cuando la computadora aplica los ajustes de GPO, esos ajustes de política se almacenan en la computadora en la base de datos del Modelo de Objetos de Gestión de Información Común (CIMOM) utilizando la Instrumentación de Administración de Windows (WMI). Para inspeccionar esos ajustes aplicados, ejecute la herramienta RSOP. La herramienta RSOP genera un informe sobre las políticas que se aplican (o están planeadas) para usuarios y computadoras en la PC.
RSOP es excelente para solucionar instancias donde tiene múltiples políticas conflictivas. Usando RSOP, puede inspeccionar qué GPO tienen prioridad y anulan a otra.
Modes
RSOP tiene dos modos diferentes para ayudarlo a descubrir cómo afectan los GPO a las computadoras objetivo; modo de registro y modo de planificación.
- Modo de registro: El uso más común de RSOP que se utiliza para generar un informe sobre todas las políticas aplicadas para todos los usuarios conectados y la propia computadora.
- Modo de planificación: Un uso menos común de RSOP que le permite simular qué ajustes se aplicarán a una computadora si se aplicara uno o más GPO a ellos. El modo de planificación funciona para determinar qué sucederá cuando un usuario sea movido a un grupo AD diferente, por ejemplo.
Inspección de GPO aplicadas localmente con RSOP
Comencemos ahora con algunas demostraciones prácticas de RSOP. Primero, veamos cómo abrir la herramienta RSOP y qué tipo de información puedes esperar ver.
En tu PC local con Windows unido al dominio, abre una ventana de símbolo del sistema o PowerShell como administrador.
Si no ejecutas el símbolo del sistema o PowerShell como administrador, RSOP no tendrá acceso a la configuración de la computadora (solo a la configuración del usuario que ha iniciado sesión). Al ejecutar RSOP, recibirás un error que indica que no tienes permisos suficientes.
A continuación, ejecuta el comando rsop.msc. Esta acción abrirá el complemento RSOP MMC.
Cuando abras RSOP, comenzará inmediatamente a leer todas las directivas aplicadas y a generar un informe. RSOP se establece de forma predeterminada en modo de registro. A continuación, verás los resultados de ejecutar RSOP en una computadora llamada WIN10VM1 con sesión iniciada como un usuario llamado LabAdmin.
Expande cada una de las carpetas y verás cada configuración en todas las Directivas de Grupo que se aplican a ese usuario o computadora en particular.
Si no ves una configuración de GPO esperada para una GPO recientemente creada, ejecuta el comando gpupdate /force en la PC para actualizar manualmente la configuración de la directiva.
Por ejemplo, a continuación verás una política local llamada HostName.bat asignada al inicio de sesión de usuario en la PC. Dentro de la política hay un archivo por lotes llamado HostName.bat bajo Configuración de usuario —> Configuración de Windows —> Scripts —> Inicio de sesión.
Al ejecutar RSOP en una computadora que tiene configurada una política local, verás que se aplica el script de inicio de sesión y el nombre de la política que lo aplicó.
Pruebas de cambios de política con el modo de planificación de RSOP
Tal vez estés listo para implementar una GPO importante en muchas computadoras. Podrías “probar en producción” aplicándola inmediatamente a todas las computadoras a la vez, o podrías usar el modo de planificación de RSOP.
Usando el modo de planificación, puedes simular muchos escenarios diferentes si aplicaras una GPO a una computadora, como cuando:
- La PC objetivo tiene una conexión de red lenta
- Habilitas el procesamiento en bucle
- La PC objetivo tiene muchas GPO aplicadas para probar la precedencia de políticas
- A user logs onto the target PC or the computer account is in different AD groups and an AD group is denied permission to the GPO.
- A user or computer is moved between domains, OUs or even AD sites.
- A WMI filter is applied to an OU
El modo de planificación te ayudará a tener en cuenta todas las variables condicionales que las GPO pueden presentarte.
Para ejecutar RSOP en modo de planificación:
1. Abra un símbolo del sistema o una consola de PowerShell elevada y escriba mmc. Esto abrirá la consola MMC.
Tenga en cuenta que no puede simplemente ejecutar rsop.msc en este caso. La única forma de cambiar el modo RSOP es cuando agrega un complemento MMC, como verá a continuación.
2. En la consola MMC, abra el menú Archivo y haga clic en Agregar o quitar complemento, como se muestra a continuación.
3. En el cuadro de diálogo Agregar o quitar complementos, seleccione Conjunto de políticas resultantes y haga clic en Agregar para mover el complemento de la ventana izquierda a la derecha.
4. A continuación, haga clic con el botón derecho en el complemento MMC Conjunto de políticas resultantes, como se muestra a continuación, haga clic en Generar datos de RSOP y Siguiente para omitir el paso de introducción.
5. En la pantalla de Selección de modo, seleccione el modo Planificación y haga clic en Siguiente para llegar a la pantalla de Selección de equipo.
6. A continuación, haga clic en Examinar bajo Información del usuario para seleccionar el usuario que podría verse afectado por una próxima GPO. Además, haga clic en Contenedor y Examinar bajo Información de equipo para seleccionar la OU que contendrá una PC en la que este usuario pueda iniciar sesión.
En la siguiente captura de pantalla, la simulación proporcionará todas las configuraciones que recibiría un usuario llamado HOMELAB\User01 al iniciar sesión en cualquier computadora en la unidad organizativa Desktop VMs.
7. Ahora, selecciona las opciones si deseas simular algunas situaciones adicionales:
- Detección de enlace lento de la Directiva de grupo
- Procesamiento de bucle de retroceso – Seleccionar Reemplazar o Fusionar reemplazará/fusionará las configuraciones de directiva de usuario y directiva de computadora en caso de un conflicto.
- Sitio: Para simular el sitio de AD al que pertenece el escritorio al que se está iniciando sesión.
Haz clic en Siguiente cuando hayas terminado.
8. Si no planeas aplicar directamente la directiva de grupo a la OU en la que estará el usuario o la computadora, haz clic en Examinar para cambiar la OU de cualquiera de los objetos. Cuando hayas terminado, haz clic en Siguiente.
En el sexto paso, definiste las OUs en las que se encontrarían el usuario y la computadora objetivo. Aquí, estás definiendo la OU a la que planeas aplicar la directiva de grupo.
9. Ahora, ingresa el grupo de AD en el que planeas que esté el usuario haciendo clic en Agregar. Para este tutorial, el usuario estará en el grupo DeniedGPOUsers.
Verás a continuación que al grupo DeniedGPOUsers se le niega la aplicación de esta directiva de grupo.
10. A continuación, para este tutorial, avanza por las pantallas para definir los filtros de WMI y los grupos de computadoras. Sin embargo, si planeas configurar un filtro WMI en la GPO o estás denegando/permitiendo la aplicación de la GPO por el grupo de AD al que pertenece la cuenta de computadora, puedes realizar estos cambios simulados.
11. Finalmente, en la pantalla de resumen, revisa todos los detalles. Deja la opción de Recopilar información extendida sobre errores habilitada y haz clic en Siguiente. Cuando habilitas la opción de información extendida sobre errores, la snap-in RSOP recopila más información de error cuando realiza la consulta. Este mensaje de error incluye problemas de red o de AD que afectan la política cuando se implementa. Habilitar esta opción puede aumentar significativamente el tiempo de procesamiento de la simulación, pero proporcionará información más detallada en caso de un error.
Después de generar la consola RSOP, haz clic con el botón derecho en la configuración de la computadora o en el nodo de configuración de usuario y selecciona Propiedades. Luego, haz clic en la pestaña de Información de error para ver cualquier error que se genere durante la simulación de la política.
12. Una vez que RSOP esté completo, navega a través de las carpetas bajo Configuración de la computadora y Configuración de usuario para verificar las políticas aplicadas.
Verás dos ventanas debajo; a la izquierda, verás la GPO real aplicada (RSOP en modo de registro) y a la derecha, verás cómo se vería el RSOP si el usuario fuera eliminado del grupo de AD DeniedGPOUsers.
Inspección remota de GPO aplicadas con RSOP
Para evitar tener que ir a la consola local de cada computadora, RSOP también te permite inspeccionar configuraciones de forma remota tanto para el modo de registro como para el modo de planificación. En esta demostración, el tutorial utilizará el modo de registro.
1. Abre RSOP siguiendo los pasos del 1 al 4 en la sección Prueba de Cambios de Política con el Modo de Planificación de RSOP anterior.
2. En la pantalla de Selección de Modo, elige el modo de registro y haz clic en Siguiente para llegar a la pantalla de Selección de Computadora.
3. En la pantalla de Selección de Computadora, elige Otro equipo ya que vas a consultar una computadora remota y haz clic en Examinar.
4. En el cuadro Seleccionar equipo, ingresa el nombre del PC remoto y haz clic en Comprobar Nombres. Esta acción buscará la cuenta de computadora AD del equipo. Si se encuentra, subrayará el nombre del PC, como se muestra a continuación.
5. Haz clic en Siguiente en la pantalla de Selección de Computadora. Aquí, podrías seleccionar No mostrar configuraciones de política para el equipo seleccionado en los resultados… pero vas a inspeccionar tanto las configuraciones de equipo como las de usuario.
6. A continuación, elige el usuario cuyas políticas de usuario aplicadas deseas inspeccionar. Verás la lista de usuarios que han iniciado sesión en la computadora remota al menos una vez.
Selecciona un usuario de la lista y haz clic en Siguiente.
Observa que la opción Usuario Actual está desactivada. RSOP no admite encontrar al usuario que ha iniciado sesión de forma remota. Debes elegir explícitamente uno.
7. Desmarque la casilla Recopilar información de error extendida. Haga clic en Siguiente para continuar. RSOP ahora se conectará al equipo remoto e intentará recuperar todas las configuraciones de RSOP tanto para el usuario seleccionado como para el equipo.
8. Haga clic en Finalizar cuando haya terminado.
9. Ahora verá el mismo complemento MMC exacto que vio al inspeccionar las configuraciones locales. Pero esta vez, las configuraciones provienen de un PC remoto.
Conclusión
La herramienta RSOP es útil cuando necesita encontrar rápidamente todas las configuraciones de GPO aplicadas dirigidas a un equipo o usuario. El uso de esta herramienta le permite ver las configuraciones aplicadas; no solo todas las configuraciones para GPO que apuntan a un equipo o usuario específico.
¿Dónde se ve usando RSOP en el futuro?