¿Cómo agregar, editar y eliminar claves de registro mediante la directiva de grupo? – 2xsoftware

@2xsoftware.e

En el entorno del dominio, no siempre es posible usar la Política de grupo (GPO) para administrar algunas de las configuraciones de Windows o de las aplicaciones. Es un hecho que puede aplicar algunas configuraciones solo a través del registro del sistema. En un dominio de Active Directory, puede administrar de manera centralizada las claves de registro en las computadoras del dominio a través de un GPO. En este artículo, le mostraremos cómo usar la Política de grupo para administrar, agregar, modificar, importar y eliminar claves de registro en un dominio.

[ez-toc]Windows Server 2008 introdujo una extensión de directiva de grupo especial (Preferencias de directiva de grupo: GPP). Le permite administrar claves de registro y parámetros a través de la Política de grupo. GPP le permite agregar, eliminar o modificar parámetros, valores y claves de registro en equipos unidos a un dominio. Repasemos estas posibilidades.

Anteriormente, para administrar la configuración del registro en las computadoras del dominio, los administradores del dominio tenían que crear sus propias plantillas administrativas de GPO (.adm/.admx) o secuencias de comandos de inicio de sesión .bat. Además, a menudo se usaban archivos *.reg guardados, que tenían que importarse a las computadoras de los usuarios usando los comandos reg import o Regedit.exe /s import.reg).

¿Cómo agregar/establecer la clave de registro a través de GPO?

Digamos que necesitamos deshabilitar la actualización automática de controladores en las computadoras del dominio en una unidad organizativa en particular. Tenemos que modificar el Configuración de pedido de búsqueda parámetro en la clave de registro HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionDriverSearching.

La configuración del registro está disponible en la sección GPO de configuraciones de equipo y usuario. Tenga en cuenta que dependiendo de la sección de registro (HKEY_LOCAL_MACHINE / HKEY_CURRENT_USER), debe aplicar la configuración a través del GPP de configuración de la computadora o del usuario, respectivamente.

referente. Consulte nuestra solución para el error de procesamiento de la política de grupo.

Hay tres opciones para seleccionar la clave de registro en las PC de destino:

  • Asistente de registro — le permite usar una computadora remota local como referencia con el navegador de registro GPP incorporado;
  • Artículo de colección — crea y organiza elementos de registro en una carpeta. Útil si necesita agregar un grupo de claves de registro;
  • Artículo de registro — le permite cambiar manualmente una sola clave de registro, nombre de parámetro o valor.

Intentemos usar el asistente de registro de GPO para establecer el valor del parámetro de registro:

  1. Abra la Consola de administración de directivas de grupo (gpmc.msc);
  2. Cree un GPO nuevo (o edite uno existente) y vincúlelo a la unidad organizativa de Active Directory adecuada. Después de eso, cámbielo al modo de edición de GPO;
  3. Expanda la siguiente sección de GPO: Computadora (o usuario) Configuración > preferencias > Configuración de Windows > Registro. Seleccione en el menú contextual: Nuevo > Asistente de registro;
  4. Registry Wizard le permite navegar por el registro en una computadora local. Puede conectarse al registro en la computadora remota y seleccionar la clave y el parámetro de registro existente;
  5. Especifique el nombre de la computadora remota (o una dirección IP) para conectarse. Use el árbol del Navegador de registro para ubicar y seleccionar una clave/parámetro de registro existente;
    eliminar clave de registro gpo
  6. En este ejemplo, queremos agregar solo un elemento de registro a nuestro parámetro GPP: REG_DWORD llamado SearchOrderConfig;
    clave de registro de eliminación de directiva de grupo
  7. Este parámetro con la ruta y el valor completos del registro se importará a la consola del editor de GPO. Puede cambiar su valor y la acción deseada. Para establecer un valor de parámetro de registro específico, use el Actualizar opción (ver abajo);
    registro gpo
  8. Esto completa la configuración de la política de registro. La próxima vez que se actualice la directiva de grupo en las computadoras (o después de ejecutar el comando gpupdate), la configuración de registro especificada se aplicará en todas las computadoras de la unidad organizativa.

También puede escribir la ruta completa de la clave de registro y un nombre de parámetro manualmente:

  1. Seleccione Nuevo > Elemento de registro;
    gpo para eliminar la clave de registro
  2. En los siguientes campos (Hive, Key path, Value type, Value data) debe especificar la sección de registro (HKLM, HKCU, etc.); clave de registro; nombre, tipo y valor del parámetro;

    Importante. Puede usar los siguientes nombres de Hive: HKEY_CLASSES_ROOT (HKEY_LOCAL_MACHINESoftwareClasses), HKEY_CURRENT_CONFIG (HKEY_LOCAL_MACHINESystemCurrentControlSetHardware ProfilesCurrent), HKEY_LOCAL_MACHINE, HKEY_CURRENT_USER (HKEY_USERS. Se usará el valor predeterminado si establece la clave de registro HKCU usando la política de configuración de la computadora); HKEY_USERS: afecta a los perfiles de usuario individuales.

    agregar clave de registro

  3. De forma predeterminada, establezca la opción de política en el Actualizar modo.

Hay 4 tipos de operación con los elementos del registro:

  • Crear — crea un parámetro de registro. Si el parámetro ya existe, el valor no cambia;
  • Actualizar (predeterminado): si el parámetro ya existe, su valor se actualizará con el especificado en el GPP. De lo contrario, se creará un parámetro con el valor especificado;
  • Reemplazar — si el elemento de registro ya existe, elimina y vuelve a crear el elemento de registro (rara vez se usa). Si la clave o el valor de registro no existe, se creará una nueva entrada de registro. Si el elemento de destino es una clave de registro, esta opción eliminará todos los parámetros y subclaves, dejando solo un nombre de valor predeterminado sin datos. Si el elemento de destino es un valor de registro, la acción Reemplazar sobrescribirá cualquier configuración existente;
  • Borrar — elimina una clave de registro y todos sus valores y subclaves.

registro de pólizas de grupo

Hay muchas opciones útiles en el Común pestaña:

  • Ejecutar en el contexto de seguridad del usuario que ha iniciado sesión — el parámetro de registro se crea en el contexto del usuario actual. Si marca esta opción, el parámetro se creará con los permisos de usuario actuales. Si el usuario no tiene permisos de administrador local, la política se aplicará solo a la sección HKEY_CURRENT_USER. Pero no a la HKEY_LOCAL_MACHINE;
  • Eliminar este elemento cuando ya no se aplique — si desvincula GPO del contenedor AD, la configuración de registro cambiada volverá a su estado inicial;
  • Aplicar una vez y no volver a aplicar — aplicar la política para cada computadora solo una vez;
  • Orientación a nivel de artículo : se puede usar para orientar la configuración del registro a través de GPP en función de la configuración de la computadora y/o la membresía del grupo AD a nivel granular.

registro gpo

El informe final con la configuración de la política en la consola de GPMC tiene este aspecto:

configuración del registro gpo

En Windows XP y Windows Server 2003, la sección GPP está ausente. Para agregarlo al sistema operativo, debe instalar la actualización KB943729 (extensiones del lado del cliente para la directiva de grupo).

¿Cómo eliminar una entrada del registro usando las preferencias de la política de grupo?

También puede usar las Preferencias de GP para eliminar una clave específica o una entrada de registro en las computadoras de un dominio.
Por ejemplo, desea eliminar un determinado parámetro en la clave de registro HKEY_CURRENT_USER.

  1. Cree una nueva entrada de registro GPP en la sección Configuración de usuario > Preferencias > Configuración de Windows > Registro;
  2. Use el Navegador del Registro para seleccionar un parámetro o clave;
  3. Expanda la clave de registro en la consola de GPO. Abra las propiedades del parámetro y cambie la Acción a Eliminar;
    gpo agregar clave de registro
  4. Guarde los cambios;
  5. Ahora, después de actualizar la configuración de la política de grupo en los clientes, el parámetro especificado se eliminará de la sección de registro del usuario.

Si recibe un error de ruta de red no encontrada al ver el registro de una computadora remota mediante la exploración del registro, verifique si se puede acceder a la computadora especificada a través de la red. Además, verifique si el servicio de registro remoto se está ejecutando (este servicio está deshabilitado de manera predeterminada). De lo contrario, use la consola de Servicios (services.msc) para iniciar el servicio.

clave de registro de directiva de grupo

O puede verificar el estado del servicio de forma remota y habilitarlo usando los siguientes comandos de PowerShell:

$remoteservice=get-service RemoteRegistry -ComputerName PC2212ba

$remoteservice| Set-Service -StartupType Manual

$remoteservice| start-service

¿Cómo implementar un archivo de registro en computadoras de dominio usando GPO?

eliminar clave de registro a través de gpo

Consideremos otro escenario que se puede usar cuando necesita implementar un archivo de registro con una gran cantidad de configuraciones de registro en todas las computadoras del dominio. En lugar de crear configuraciones de registro individuales manualmente en el editor de GPP, puede importar el archivo de registro con la configuración a través del script de inicio de GPO.

  1. Exporte el contenido de la clave de registro en la computadora de referencia a un archivo de registro. Para hacer esto, inicie el editor de registro (regedit.exe), haga clic derecho en la clave de registro y seleccione Exportar. Especifique el nombre del archivo que desea guardar el contenido de la clave de registro;
    eliminar clave de registro gpo
  2. Puede abrir este archivo de registro con cualquier editor de texto y editarlo manualmente. Elimine la clave de registro vacía, edite los valores de los parámetros (si es necesario) y agregue nuevas claves o parámetros;
    regedit gpo
  3. Inicie la consola de administración de directivas de grupo, cree un nuevo GPO y vincúlelo a la unidad organizativa con computadoras (si desea aplicar los parámetros de la sección de registro de HKLM);
  4. Vaya a la siguiente sección de GPO: Configuración de la computadora > Configuración de Windows > Scripts > Inicio de sesión;
  5. Haga clic en el botón Agregar para agregar un nuevo script de inicio.
  6. En la siguiente ventana, haga clic en el botón Examinar y copie su archivo de registro en este directorio (\nombre-de-dominioSysvolnombre-de-dominioPolicies…);
    registro gpo
  7. Especifique los siguientes parámetros del script de inicio de sesión: 
    Script Name: regedit.exe

Script Parameters: /s your_reg_file.reg

    clave de registro de cambio gpo

  8. Guardar cambios en la política;
  9. La configuración del registro de su archivo de registro se aplicará en todas las computadoras en la unidad organizativa especificada después del reinicio.

Nota. Consulte nuestro tutorial sobre cómo administrar los permisos de «Inicio de sesión como servicio» mediante GPO/PowerShell.

Asignación de permisos de clave de registro a través de la política de grupo

Además, puede asignar permisos (ACL) a claves de registro mediante la directiva de grupo de Windows. Esta característica puede ser útil cuando concede a un usuario permiso para acceder a claves de registro protegidas por el sistema o desea evitar que usuarios que no sean administradores cambien ciertas claves de registro.

  1. Cree un nuevo GPO o edite uno existente;
  2. Expanda la siguiente sección de Política de grupo: Configuración del equipo > Configuración de Windows > Configuración de seguridad > Registro;
  3. Haga clic derecho en el panel derecho y seleccione Agregar clave;
  4. Utilice el Navegador de registro integrado para seleccionar la clave de registro local a la que desea asignar una ACL. Si desea establecer permisos para una clave de registro que falta en la computadora actual, deberá instalar el complemento GPMC y editar el GPO desde la computadora que tiene esta clave; eliminar clave de registro gpo
  5. Se abrirá el cuadro de diálogo Seguridad de la base de datos para . Aquí puede cambiar la ACL para esta clave de registro. En nuestro caso, otorgamos permisos de control total (lectura + escritura + cambio) a la clave de registro de Chrome para el grupo de Active Directory caWKSPowerUsers. De forma predeterminada, esta ACL no se hereda a las subclaves anidadas. Si desea habilitar la herencia de permisos, haga clic en el Avanzado > Habilitar herencia botón; gpo para eliminar la clave de registro
  6. Guarde los cambios haciendo clic en Aceptar. Verá la ventana de diálogo Configuración de la política de seguridad de la plantilla. Aquí puede forzar que su ACL se aplique a todas las subclaves de la clave de destino (Propagar permisos heredables a todas las subclaves) o forzar una nueva ACL solo a las subclaves que heredan de la clave de destino (Reemplazar los permisos existentes en todas las subclaves con permisos heredables). O bien, puede habilitar la opción «No permitir que se reemplacen los permisos en esta clave» para evitar la edición de ACL en esta entrada de registro;
    clave de registro gpo
  7. Cierre la ventana del editor de GPO. Los permisos de registro se aplicarán la próxima vez que reinicie los equipos cliente de destino.
Valora este artculo post

Related Posts

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *