¿Cómo agregar, editar, implementar e importar claves de registro a través de GPO?

En este artículo, veremos cómo usar la Política de grupo (GPO) para crear, modificar, importar y eliminar de manera centralizada cualquier clave de registro en computadoras unidas a un dominio.

No había una función integrada para administrar los parámetros de registro en los GPO clásicos. Por lo tanto, los administradores tenían que crear sus propias plantillas administrativas .adm/.admx (un ejemplo de plantilla .admx para Google Chrome) o archivos bat para secuencias de comandos de inicio de sesión (el archivo .reg se importa mediante el reg import comando) para la gestión centralizada de claves de registro y parámetros a través de GPO.

En Windows Server 2008, Microsoft lanzó una extensión de política de grupo llamada Preferencias de directiva de grupo (BPP). Apareció una sección especial en la consola de directivas de grupo, que permite a los administradores configurar (crear/editar/eliminar) cualquier parámetro o clave de registro e implementar esta configuración en todas las computadoras del dominio. Vamos a tratar estas características en detalle.

Suponga que desea deshabilitar a través del registro la actualización automática del controlador en las computadoras en una unidad organizativa (OU) específica del dominio AD cambiando el valor de la Configuración de pedido de búsqueda parámetro en la clave de registro HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionDriverSearching. Hay dos formas de establecer un parámetro de registro en las computadoras de destino: usando un navegador de registro remoto integrado en la consola GPP o manualmente especificando la ruta a la clave de registro, el nombre y el valor del parámetro.

Navegador de registro remoto en GPO

Detengámonos en la primera forma de empezar:

  1. Abra la consola de administración de directivas de grupo (gpmc.msc);
  2. Cree un nuevo GPO (o edite el existente), vincúlelo al contenedor necesario (OU) en AD con las computadoras (o usuarios) en las que desea implementar la clave de registro y vaya al modo de edición de políticas;
  3. Expanda la sección GPO Computadora (o Usuario) Configuración -> preferencias -> Configuración de Windows -> Registro y seleccione Nuevo -> Asistente de registro en el menú contextual;Asistente de registro de la consola GPP
  4. los Asistente de registro le permite conectarse al registro en una computadora remota y seleccionar la clave de registro existente;
  5. Especifique el nombre de la computadora remota a la que desea conectarse;Navegador de registro remoto
    Nota. si el error La ruta de red no se encontró aparece cuando intenta conectarse a una computadora a través del Navegador de registro, lo más probable es que esta computadora remota esté apagada, el acceso a ella esté bloqueado por un firewall o el servicio de Registro remoto no se haya iniciado en ella. La ruta de red no se encontró Para iniciar el servicio manualmente, ejecute estos comandos en la computadora remota: sc config remoteregistry start= demand
    net start remoteregistry    iniciar el servicio de registro remoto
  6. Usando el navegador de Registro remoto, seleccione todos los parámetros de registro que desea implementar a través del GPO;
    Nota. Este navegador le permite seleccionar solo claves de registro de las colmenas HKEY_LOCAL_MACHINE y HKEY_USERS en una computadora remota. Si necesita configurar las claves contenidas en otras secciones de registro, debe instalar RSAT en la computadora remota (Instalación de RSAT en Windows 10). Luego ejecute la consola gpmc.msc en esta computadora y use el mismo procedimiento para seleccionar las claves de registro requeridas.
  7. En nuestro ejemplo, quiero importar solo un parámetro de registro al GPP: SearchOrderConfig;Seleccione el elemento de registro en el navegador de registro
  8. La entrada de registro especificada se importa a la consola de GPP junto con la ruta de registro (ha aparecido un árbol de registro en la consola de políticas de grupo) y el valor actual (0). En el futuro, puede cambiar su valor y la acción deseada (esto se considerará más adelante);Elemento de actualización del registro de GPO
  9. Por lo tanto, ha creado una política de grupo para implementar su clave de registro. La próxima vez que se actualice la configuración de la directiva de grupo en los equipos de destino, el valor de la clave de registro SearchOrderConfig cambiará a 0 (si la directiva no se aplica al cliente, puede usar la herramienta GPResult para el diagnóstico).

Si este GPO se elimina, se desvincula del contenedor de AD, la computadora de destino se mueve a otra unidad organizativa, el valor del parámetro de registro no volverá a su valor original (predeterminado) (como en el caso de la configuración de política de GPO habitual) .

¿Cómo crear/editar manualmente una clave de registro mediante la directiva de grupo?

Puede crear, editar o eliminar el valor del parámetro de registro específico utilizando GPP especificando la ruta y el valor de la clave de registro manualmente.

gpp nuevo elemento de registro

  • Para hacerlo, seleccione Registro -> Nuevo -> Elemento de registro;
  • Complete los siguientes campos de acuerdo con los datos del parámetro de registro que desea cambiar: Hive, Key Path, Value Name, Value type, Value data;propiedades del elemento de registro
  • De forma predeterminada, la configuración del registro que se configura a través del GPO se establece en el Actualizar modo.

Hay 4 tipos de acciones disponibles en GPO para claves de registro:

acciones de elementos de registro

  • Crear – crea una clave de registro. Si el parámetro ya existe, su valor no cambia;
  • Actualizar (por defecto) – actualiza el valor de un parámetro existente según el GPP. Si el parámetro de registro no existe, se creará automáticamente (así como la clave de registro en la que debe ubicarse);
  • Reemplazar – elimina y vuelve a crear el elemento de registro (rara vez se usa);
  • Borrar – elimina una clave de registro.

Hay una serie de otras características útiles en el Común pestaña:

opciones comunes

  • Ejecutar en el contexto de seguridad del usuario que ha iniciado sesión (opción de política de usuario) — se crea una clave de registro solo en el contexto de usuario actual (solo es posible para GPP en la sección de usuario de GPO). Si un usuario no tiene privilegios de administrador, no podrá escribir nada en las claves de registro del sistema protegido;
  • Eliminar este elemento cuando ya no se aplique – si la política ya no es aplicable a un cliente, la clave se elimina automáticamente;
  • Aplicar una vez y no volver a aplicar – una política se aplica a un cliente (usuario o computadora) solo una vez. Posteriormente no se volverá a aplicar. Si después de aplicar el GPO, el usuario cambia manualmente el valor del parámetro de registro, la política no anulará su valor en el próximo ciclo de actualización de la política;
  • Orientación a nivel de artículo – la oportunidad de orientar la política con mayor precisión a los clientes (puede orientar la política a una IP específica, subred, nombre de computadora, computadoras con ciertas características, es decir, puede configurar la aplicación de políticas de manera similar a los filtros GPO WMI). Por ejemplo, puede especificar que el parámetro de registro se aplique a los equipos que ejecutan Windows Server 2012 R2 en la unidad organizativa AD denominada Servidores.gpp: implementar clave de registro con orientación

Así es como se ve la configuración final de la política en la consola de GPMC (pestaña Configuración).

Informe de políticas de GPMC

Importar archivo .reg en GPO

El GPP le permite al administrador importar fácilmente un archivo .reg a la Política de grupo con varias configuraciones de registro. Pero para hacer esto, el archivo de registro debe convertirse al formato XML (el Editor de políticas de grupo le permite importar archivos solo en formato XML).

Por ejemplo, tiene una computadora de referencia en la que algunas configuraciones están configuradas a través del registro. Puede exportar esta configuración a un archivo REG haciendo clic con el botón derecho en el nombre de la clave de registro en regedit.exe y seleccionando Exportar.

exportar clave de registro a un archivo

Guarde la configuración de la clave de registro en el archivo reg.

guardar archivo de registro

Si su archivo de registro contiene datos de diferentes secciones de registro (HKLM, HKCU, HK_CLASSES), debe dividirlos en archivos de registro separados.

A continuación, debe convertir este archivo REG al formato XML. Puede convertir reg -> xml usando el servicio en línea https://www.runecasters.com.au/reg2gpp o con el script de PowerShell RegToXML.ps1 — https://gallery.technet.microsoft.com/scriptcenter/Registry-To-GroupPolicyPref-9feae9a3.

El archivo XML resultante debe copiarse en el Explorador de archivos y pegarse en la sección Registro del editor de directivas de grupo.

importar archivo de registro para implementar a través de gpo

Como resultado, todas las configuraciones de registro que importó aparecerán en la consola de directivas de grupo y se aplicarán a los equipos de destino del dominio.

implementar múltiples parámetros de registro desde xml a través de gpo

Artículos Interesantes

Relacionados:

Modo de remedo de sesiones de escritorio remoto en Windows 10
¿Cómo verificar la versión de PowerShell instalada?
¿Cómo mostrar / ocultar todas las cuentas de usuario desde la pantalla de inicio de sesión en Window...
¿Cómo encontrar archivos duplicados usando PowerShell?