¿Necesito cambiar mi servidor o actualizar el esquema para aplicar las nuevas directivas de grupo?
Esta pregunta se produce continuamente y la respuesta es muy clara: No, Las Directivas de grupo no dependen ni del servidor ni del esquema, sólo depende que se apliquen correctamente si están soportadas por el cliente.
Lo anterior es perfectamente válido excepto para algunas excepciones dónde se requiere una pequeña ampliación del esquema para soportar el almacenamiento de las características de nuevas funcionalidades como Bitlocker o la configuración mediante Directivas de la WLAN.
Así que cuando tengo un Directorio Activo con Windows 2003 y clientes Windows XP y Windows Vista lo único que tendré que tener en cuenta es asegurarme que la Directiva aplicada se aplica a un cliente que la soporta.
El tener separada la aplicación de Directivas por cliente me va a evitar quebraderos de cabeza en aquellas funcionalidades mejoradas de una versión del cliente a otra ya que la aplicación de las viejas directivas puede causar comportamientos imprevisibles en los nuevos clientes. Esto es bastante común en Directivas de Firewall, IPSec, Auditing y configuración Wireless sobre sistemas Vista.
Para separarlas puedo bien establecer los ámbitos como todos sabemos mediante OUs disgregadas o bien establecer filtros WMI, asumiendo en este caso que ya no hay Windows 2000 en mi entorno, o ACLs.
¿Y como aplico las nuevas directivas para mis clientes Vista o Windows 7?
Recordemos que no hay versiones de directivas Windows XP o Windows Vista. La Directiva es la misma y continuará siendo la misma aun cuando actualicemos nuestro servidor o nuestro esquema. La única diferencia que existe es en las extensiones de estas directivas. Una extensión moderna se seguirá ejecutando en un cliente XP pero este no sabrá que hacer realmente con ella. Es el cliente quien debe saber que hacer con el resultado de procesar las directivas para aplicar la configuración. Si no sabe hacerlo no es capaz de aplicar nada.
Y para aplicar las nuevas extensiones que no me aparecen en mi Windows 2003 lo único que necesitaré será un cliente más nuevo con la herramienta de gestión remota de directivas. Para Windows Vista RSAT. Utilizando RSAT para Windows Vista utilizaré las directivas que me ofrece Windows Vista y publicaré correctamente las extensiones en el Directorio aun cuando no sea capaz de verlas desde la consola del propio Windows 2003.