Cómo agregar, editar y eliminar claves de registro mediante la política de grupo – TrucosInformaticos

@trucosinformaticos.com
Windows Server

Puede utilizar las Preferencias de política de grupo (GPP) para administrar de forma centralizada las claves de registro, los parámetros y sus valores en las computadoras del dominio en Active Directory. Este artículo muestra cómo utilizar la Política de grupo para agregar, modificar, importar y eliminar elementos del registro en computadoras unidas a un dominio.

Cómo agregar/modificar claves y valores de registro con GPO

En este ejemplo, vamos a cambiar el valor de Configuración de pedido de búsqueda parámetro de registro en la clave de registro \SOFTWARE\Microsoft\Windows\CurrentVersion\DriverSearching.

Puede modificar esta entrada de registro a través de la sección GPO de Configuraciones de usuario o Computadora. Deberá aplicar la configuración a través del GPP de configuración de la computadora o del usuario, según el subárbol de registro de destino (HKEY_LOCAL_MACHINE / HKEY_CURRENT_USER).

Hay tres opciones para seleccionar la clave de registro:

  • Asistente de registro — permite utilizar una computadora remota local como referencia con el navegador de registro GPP integrado;
  • Artículo de colección — crea y organiza elementos del registro en una carpeta. Esto es útil si necesita agregar un grupo de parámetros de registro;
  • Artículo de registro — le permite cambiar manualmente una única clave de registro, nombre de parámetro o valor.

Intentemos utilizar el Asistente de registro de GPO para establecer un valor de parámetro de registro:

  1. Abra la consola del Editor de administración de políticas de grupo (gpmc.msc);
  2. Cree un GPO nuevo (o edite uno existente) y vincúlelo a la unidad organizativa de Active Directory adecuada. Luego haga clic derecho en GPO y seleccione Editar;
  3. Expanda la siguiente sección de GPO: Computadora (o Usuario) Configuración > Preferencias > Configuración de Windows > Registro. Seleccionar Nuevo > Asistente de registro;
  4. El Asistente de registro le permite explorar el registro en una computadora local. También puede conectarse al registro en la computadora remota y seleccionar la clave y el parámetro de registro existentes;
  5. Especifique el nombre de la computadora remota (o dirección IP). Utilice el árbol del Explorador de registro para localizar y seleccionar una clave/parámetro de registro existente;
    gpo agregar clave de registro
  6. En este ejemplo, queremos agregar solo un parámetro REG_DWORD de elemento de registro denominado SearchOrderConfig;
    registro de políticas de grupo
  7. Este parámetro con su ruta de registro completa y su valor se importarán a la consola del editor de GPO. Puedes cambiar su valor y la acción. Para establecer un valor de parámetro de registro específico, utilice el Actualizar opción (ver más abajo);
    regedit gpo
  8. Después del siguiente ciclo de actualización de GPO, este valor de registro se aplicará a todas las computadoras o usuarios en la unidad organizativa de destino. Puede actualizar manualmente la configuración de GPO en el dispositivo cliente utilizando el gpupdate/fuerza dominio.

También puede ingresar manualmente la ruta completa de la clave de registro y el nombre del parámetro:

  1. Seleccione Nuevo > Elemento de registro;
    gpo eliminar clave de registro
  2. Ingrese el nombre de la colmena (HKLM, HKCU, etc.), la ruta de la clave, el nombre del valor, el tipo y los datos;

Importante. Se pueden utilizar los siguientes nombres de colmenas del registro:

  • HKEY_CLASSES_ROOT (HKEY_LOCAL_MACHINE\Software\Clases);
  • HKEY_CURRENT_CONFIG (HKEY_LOCAL_MACHINE\System\CurrentControlSet\Hardware Profiles\Current);
  • HKEY_LOCAL_MACHINE;
  • HKEY_CURRENT_USER (se utilizará HKEY_USERS\.Default si configura la clave de registro HKCU mediante la Política de configuración del equipo);
  • HKEY_USERS: afecta a perfiles de usuario individuales.

clave de registro gpo

  1. Seleccione la acción GPP:

Existen 4 tipos de operación con los elementos de registro:

  • Crear — crea un parámetro de registro. Si el parámetro ya existe, el valor no cambiará;
  • Actualizar (predeterminado): si el parámetro ya existe, su valor se actualizará al valor que haya especificado en el GPP. De lo contrario, se creará un parámetro con el valor especificado;
  • Reemplazar — si el elemento de registro ya existe, lo eliminará y lo volverá a crear (rara vez se usa). Si la clave o el valor del registro no existe, se creará una nueva entrada del registro. Si el elemento de destino es una clave de registro, esta opción eliminará todos los parámetros y subclaves, dejando solo un nombre de valor predeterminado sin datos. Si el elemento de destino es un valor de registro, la acción Reemplazar sobrescribirá cualquier valor existente;
  • Borrar — elimina una clave de registro y todos sus valores y subclaves.

política de grupo agregar clave de registro

Hay muchas opciones útiles en el Común pestaña:

  • Ejecutar en el contexto de seguridad del usuario que ha iniciado sesión — permite crear un parámetro de registro con los permisos de usuario actuales. Si el usuario no tiene permisos de administrador local, la política solo se aplicará a la colmena HKEY_CURRENT_USER (pero no a HKEY_LOCAL_MACHINE);
  • Eliminar este elemento cuando ya no se aplique — si desvincula GPO del contenedor AD, el elemento de registro modificado vuelve a su estado original;
  • Aplicar una vez y no volver a aplicar. — aplicar la política para cada computadora solo una vez;
  • Orientación a nivel de artículo — se puede utilizar para establecer el valor del registro a nivel granular (según la configuración de la computadora, membresía del grupo AD, sitio de Active Directory, rango de tiempo, etc.).

gpo establece clave de registro

El informe final con la configuración del registro en la consola GPMC tiene este aspecto:

agregar la clave de registro gpo

Eliminar la entrada del registro con la política de grupo

También puede utilizar las Preferencias de GP para eliminar una clave o entrada de registro específica en las computadoras del dominio.
Por ejemplo, es posible que desee eliminar un determinado parámetro en la clave de registro HKEY_CURRENT_USER.

  1. Cree una nueva entrada GPP de registro en Configuración de usuario > Preferencias > Configuración de Windows > Registro;
  2. Utilice el Navegador de registro para seleccionar un parámetro o clave;
  3. Expanda la clave de registro en la consola de GPO. Abra las propiedades del parámetro y cambie la Acción a Eliminar;
    crear clave de registro gpo
  4. Guarde los cambios;
  5. El parámetro especificado se eliminará del subárbol del registro del usuario.

Puede crear muchas configuraciones de registro que desee aplicar en un solo GPO. Si dos elementos de GPP cambian la misma configuración del registro, el elemento con mayor orden de prioridad se aplicará en último lugar. Puede cambiar el orden de los elementos del registro usando los botones arriba y abajo en la parte superior de la consola del editor de GPO.

registro gpo

Para acceder al registro de una computadora remota usando Registry Browse, el servicio de Registro remoto debe estar ejecutándose en esa computadora. De lo contrario, recibirá el error «Ruta de red no encontrada». Puede iniciar manualmente el servicio en una computadora usando la consola services.msc.

regedit gpo

También puede usar PowerShell para verificar de forma remota el estado del servicio y habilitarlo:

$remoteservice=get-service RemoteRegistry -ComputerName PC2212ba

$remoteservice| Set-Service -StartupType Manual

$remoteservice| start-service clave de registro de cambio de gpo

Cómo instalar un archivo Reg en computadoras de dominio con GPO

También puede utilizar el GPO para implementar un archivo REG que contenga una gran cantidad de configuraciones de registro en las computadoras. En este caso, puede utilizar el script de inicio de GPO para importar el archivo REG en lugar de crear manualmente configuraciones de registro individuales en el Editor GPP.

  1. Exporte la clave de registro en la computadora de referencia a un archivo REG. Abra el editor de registro (regedit.exe), haga clic derecho en la clave de registro y seleccione Exportar. Especifique el nombre del archivo en el que desea guardar la clave de registro;
    agregar política de grupo de claves de registro
  2. Puede editar el archivo REG manualmente usando cualquier editor de texto. Elimine las claves de registro vacías, edite los valores de los parámetros (si es necesario) y agregue nuevas claves o parámetros;

Para eliminar una clave de registro usando un archivo REG, coloque un guión () delante de la ruta del registro. Por ejemplo:

[-HKEY_LOCAL_MACHINE\Software\App1]
actualización del registro gpo
  1. Vaya a la consola GPMC, cree un nuevo GPO y vincúlelo a la unidad organizativa con las computadoras (si desea aplicar los parámetros del subárbol del registro HKLM);
  2. Vaya a Configuración de la computadora > Configuración de Windows > Scripts > Iniciar sesión;
  3. Haga clic en el botón Agregar para agregar un nuevo script de inicio;
  4. Haga clic en el botón Examinar y copie su archivo REG en este directorio (\\nombre-dominio\Sysvol\nombre-dominio\Policies\…);
    gpo para cambios de registro
  5. Especifique las siguientes opciones de script de inicio de sesión:
    Nombre del script: regedit.exe
    Parámetros del script: /s your_reg_file.reg

registro de edición de gpo

Este comando importa el archivo REG al registro de cada computadora de destino al inicio.

  1. Guardar cambios en la política;
  2. La configuración de registro de su archivo REG se aplicará a las computadoras de destino después del reinicio.

Configuración de permisos de clave de registro con política de grupo

También puede utilizar la Política de grupo para asignar permisos (ACL) a las claves de registro. Esta función puede resultar útil si desea otorgar permiso a un usuario sobre claves de registro protegidas por el sistema o si desea evitar que usuarios que no sean administradores modifiquen algunas claves de registro.

  1. Abra el GPO;
  2. Expanda Configuración de la computadora > Configuración de Windows > Configuración de seguridad > Registro;
  3. Haga clic derecho y seleccione Agregar clave;
  4. Utilice el Explorador de registro integrado para seleccionar la clave de registro local a la que desea aplicar una ACL. Si desea establecer permisos para una clave de registro que falta en la computadora actual, instale el complemento GPMC y edite el GPO desde la computadora que tiene esa clave; clave de registro de política de grupo
  5. Se abrirá el cuadro de diálogo Seguridad de la base de datos. Aquí puede cambiar la ACL para esta clave de registro. Por ejemplo, otorgue permisos de Control total (Lectura + Escritura + Cambio) a la clave de registro para el grupo caWKSPowerUsers Active Directory. De forma predeterminada, esta ACL no se hereda en subclaves anidadas. Hacer clic Avanzado > Habilitar herencia para habilitar la herencia de permisos;
    eliminar la clave de registro gpo
  6. Guarde los cambios. En la ventana de diálogo Configuración de la política de seguridad de la plantilla, puede forzar que ACL se aplique a todas las subclaves de la clave de destino (Propagar permisos heredables a todas las subclaves) o forzar una nueva ACL solo en subclaves que heredan de la clave de destino (Reemplace los permisos existentes en todas las subclaves con permiso heredable). O puede habilitar la opción «No permitir que se reemplacen los permisos de esta clave» para evitar la edición de ACL en esta entrada de registro;
    configuración de registro gpo
  7. Cierre la ventana del editor de GPO y espere a que se apliquen los nuevos permisos a las computadoras.

Valora este post

Related Posts

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *