¿Cómo agregar, editar, implementar e importar claves de registro a través de GPO?

por | Jun 27, 2021 | Tips

En este artículo, veremos cómo utilizar la Política de grupo (GPO) para crear, modificar, importar y eliminar de forma centralizada cualquier clave de registro en equipos unidos a un dominio.

No había una función incorporada para administrar los parámetros del registro en los GPO clásicos. Por lo tanto, los administradores tenían que crear sus propias plantillas administrativas .adm / .admx (un ejemplo de plantilla .admx para Google Chrome) o archivos bat para los scripts de inicio de sesión (el archivo .reg se importa mediante el reg import comando) para la gestión centralizada de claves de registro y parámetros a través de GPO.

En Windows Server 2008, Microsoft lanzó una extensión de política de grupo llamada Preferencias de directiva de grupo (GPP). Ha aparecido una sección especial en la consola de políticas de grupo, que permite a los administradores configurar (crear / editar / eliminar) cualquier parámetro de registro o clave e implementar esta configuración en todos los equipos del dominio. Tratemos estas características en detalle.

Suponga que desea deshabilitar a través del registro la actualización automática de controladores en computadoras en una unidad organizativa (OU) de dominio de AD específica cambiando el valor SearchOrderConfig parámetro en la tecla reg HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion DriverSearching. Hay dos formas de establecer un parámetro de registro en los equipos de destino: utilizando un navegador de registro remoto integrado en la consola GPP o manualmente especificando la ruta a la clave de registro, el nombre del parámetro y el valor.

Explorador de registro remoto en GPO

Detengámonos en la primera forma para empezar:

  1. Abra la consola de administración de políticas de grupo (gpmc.msc);
  2. Cree un nuevo GPO (o edite el existente), vincúlelo al contenedor necesario (OU) en AD con los equipos (o usuarios) en los que desea implementar la clave de registro y vaya al modo de edición de políticas;
  3. Expanda la sección GPO Ordenador (o Usuario) Configuración -> Preferencias -> Configuración de Windows -> Registro y seleccione Nuevo -> Asistente de registro en el menú contextual;
  4. La Asistente de registro le permite conectarse al registro en una computadora remota y seleccionar la clave de registro existente;
  5. Especifique el nombre del equipo remoto al que desea conectarse;Navegador de registro remoto
    Nota. Si el error La ruta de red no se encontró aparece cuando intenta conectarse a una computadora a través del navegador del registro, lo más probable es que esta computadora remota esté apagada, el acceso a ella esté bloqueado por un firewall o el servicio de registro remoto no se haya iniciado en él. La ruta de red no se encontró Para iniciar el servicio manualmente, ejecute estos comandos en la computadora remota: sc config remoteregistry start= demand
    net start remoteregistry    iniciar el servicio de registro remoto
  6. Con el navegador de Registro remoto, seleccione todos los parámetros de registro que desea implementar a través del GPO;
    Nota. Este navegador le permite seleccionar solo claves de registro de las colmenas HKEY_LOCAL_MACHINE y HKEY_USERS en una computadora remota. Si necesita configurar las claves contenidas en otras secciones del registro, debe instalar RSAT en la computadora remota (Instalación de RSAT en Windows 10). Luego ejecute la consola gpmc.msc en esta computadora y use el mismo procedimiento para seleccionar las claves de registro requeridas.
  7. En nuestro ejemplo, quiero importar solo un parámetro de registro al GPP - SearchOrderConfig;Seleccionar elemento de registro en el navegador de registro
  8. La entrada de registro especificada se importa a la consola GPP junto con la ruta de registro (ha aparecido un árbol de registro en la consola de políticas de grupo) y el valor actual (0). En el futuro, puede cambiar su valor y la acción deseada (esto se considerará más adelante);Elemento de actualización del registro de GPO
  9. Por lo tanto, ha creado una política de grupo para implementar su clave de registro. La próxima vez que se actualice la configuración de la directiva de grupo en los equipos de destino, el valor de la clave de registro SearchOrderConfig en ellos cambiará a 0 (si la directiva no se aplica en el cliente, puede usar la herramienta GPResult para el diagnóstico).

Si se elimina este GPO, se desvincula del contenedor de AD, el equipo de destino se mueve a otra OU, el valor del parámetro de registro no volverá a su valor original (predeterminado) (como en el caso de la configuración habitual de la política de GPO) .

¿Cómo crear / editar manualmente una clave de registro mediante la política de grupo?

Puede crear, editar o eliminar el valor del parámetro de registro específico usando GPP especificando la ruta y el valor de la clave de registro manualmente.

gpp nuevo elemento de registro

  • Para hacerlo, seleccione Registro -> Nuevo -> Elemento de registro;
  • Complete los siguientes campos de acuerdo con los datos del parámetro de registro que desea cambiar: Hive, Ruta de la clave, Nombre del valor, Tipo de valor, Datos del valor;propiedades del elemento de registro
  • De forma predeterminada, la configuración del registro que se configura a través del GPO se establece en el Actualizar modo.

Hay 4 tipos de acciones disponibles en GPO para claves de registro:

acciones de elementos de registro

  • Crear - crea una clave de registro. Si el parámetro ya existe, su valor no se modifica;
  • Actualizar (de forma predeterminada): actualiza el valor de un parámetro existente de acuerdo con el GPP. Si el parámetro de registro no existe, se creará automáticamente (así como la clave de registro en la que debe ubicarse);
  • Reemplazar - elimina y vuelve a crear el elemento de registro (rara vez se utiliza);
  • Borrar - elimina una clave de registro.

Hay una serie de otras funciones útiles en el Común pestaña:

opciones comunes

  • Ejecutar en el contexto de seguridad del usuario que ha iniciado sesión (opción de política de usuario) - se crea una clave de registro solo en el contexto de usuario actual (solo es posible para GPP en la sección de usuario del GPO). Si un usuario no tiene privilegios de administrador, no podrá escribir nada en las claves de registro del sistema protegido;
  • Eliminar este elemento cuando ya no se aplique - si la política ya no es aplicable a un cliente, la clave se elimina automáticamente;
  • Aplicar una vez y no volver a aplicar - una política se aplica a un cliente (usuario o computadora) solo una vez. Más tarde no se volverá a aplicar. Si después de aplicar el GPO, el usuario cambia manualmente el valor del parámetro de registro, la política no anulará su valor en el siguiente ciclo de actualización de la política;
  • Orientación a nivel de artículo - la oportunidad de dirigir la política con mayor precisión a los clientes (puede orientar la política a una IP, subred, nombre de equipo, equipos con determinadas características, es decir, puede configurar la aplicación de políticas de forma similar a los filtros WMI de GPO). Por ejemplo, puede especificar que el parámetro de registro se debe aplicar a los equipos que ejecutan Windows Server 2012 R2 en la unidad organizativa de AD denominada Servidores.gpp: implementar clave de registro con orientación

Así es como se ve la configuración de política final en la consola de GPMC (pestaña Configuración).

Informe de políticas de GPMC

Importar archivo .reg a GPO

El GPP permite al administrador importar fácilmente un archivo .reg a la Política de grupo con varias configuraciones de registro. Pero para hacer esto, el archivo reg debe convertirse al formato XML (el Editor de políticas de grupo le permite importar archivos solo en formato XML).

Por ejemplo, tiene un equipo de referencia en el que se configuran algunas opciones a través del registro. Puede exportar esta configuración a un archivo REG haciendo clic con el botón derecho en el nombre de la clave de registro en regedit.exe y seleccionando Exportar.

exportar clave de registro a un archivo

Guarde la configuración de la clave de registro en el archivo reg.

guardar archivo reg

Si su archivo de registro contiene datos de diferentes secciones de registro (HKLM, HKCU, HK_CLASSES), debe dividirlos en archivos de registro separados.

A continuación, debe convertir este archivo REG al formato XML. Puede convertir reg -> xml usando el servicio en línea https://www.runecasters.com.au/reg2gpp o con el script de PowerShell RegToXML.ps1 - https://gallery.technet.microsoft.com/scriptcenter/Registry-To-GroupPolicyPref-9feae9a3.

El archivo XML resultante debe copiarse en el Explorador de archivos y pegarse en la sección Registro del editor de políticas de grupo.

importar archivo reg para implementar a través de gpo

Como resultado, todas las configuraciones de registro que importó aparecerán en la consola de directiva de grupo y se aplicarán a los equipos de destino en el dominio.

implementar múltiples parámetros de registro desde xml a través de gpo

Recomendado para ti

Artículos relacionados: