¿Necesitas instalar la consola de Group Policy en un equipo Windows 10 22H2 y te aparecen los códigos de error 0x800f0954 o 0x8024002e? En esta guía exhaustiva aprenderás a superar la restricción impuesta por WSUS y a instalar RSAT – Group Policy Management Tools de forma controlada, segura y documentada.
Visión general
Desde Windows 10 1809, las Remote Server Administration Tools (RSAT) dejaron de distribuirse como instalador independiente y pasaron a estar incluidas como Features on Demand (FoD). Estas características se descargan por Windows Update (WU). En entornos empresariales que impiden el acceso directo a WU y obligan a usar WSUS, el intento de añadir la capacidad falla y se registran los errores mencionados. A continuación se analiza por qué ocurre, los métodos para instalar la herramienta y las buenas prácticas para no comprometer la política de actualizaciones de la organización.
Comprobaciones previas
- Verifica que el equipo realmente ejecuta Windows 10 22H2 (OS Build 19045.xxx).
- Asegúrate de iniciar sesión con una cuenta que sea miembro del grupo Administradores locales.
- Confirma que la política “Specify settings for optional component installation and component repair” esté configurada para obligar el uso de WSUS; de lo contrario, puede que el fallo se deba a otro motivo (falta de conectividad, instalación dañada, etc.).
- Comprueba que la hora del sistema y la zona horaria estén correctas. Una desviación de unos minutos basta para invalidar los certificados que protegen la descarga de FoD.
Errores más frecuentes y su significado
| Código | Mensaje corto | Causa probable | Componente que devuelve el error |
|---|---|---|---|
0x800f0954 | “Couldn’t add” | El servicio de Windows Update está configurado para usar WSUS y no puede llegar a fe3.delivery.mp.microsoft.com. | DISM / Add‑WindowsCapability |
0x8024002e | WUEWU_DISABLED | La política DisableWindowsUpdateAccess está habilitada o UseWUServer=1 en el registro. | Windows Update Agent (WUA) |
0x80244022 | HTTP 0x22 | Error de tiempo de espera o bloqueo por proxy/firewall cuando se contacta al WSUS. | WUA |
Paso a paso para instalar la consola GPMC habilitando WU de forma temporal
| Paso | Acción | Detalles |
|---|---|---|
| 1 | Permitir temporalmente WU directo | Opción GUI: Abrir gpedit.msc → Computer Configuration > Administrative Templates > System. Abrir la directiva Specify settings for optional component installation and component repair. Establecerla en Enabled y marcar la casilla “Download repair content and optional features directly from Windows Update…”. Opción PowerShell: New-Item -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate" -Force | Out-Null Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU" ` -Name UseWUServer -Value 0 -Type DWord |
| 2 | Actualizar directivas y servicios | gpupdate /force Restart-Service wuauserv |
| 3 | Instalar la característica | Add-WindowsCapability -Online -Name Rsat.GroupPolicy.Management.Tools~~~~0.0.1.0 |
| 4 (opcional) | Restablecer componentes de WU | Si la descarga se atasca, utiliza el script oficial de “Reset Windows Update Agent” o ejecuta:Get-Service bits,wuauserv | Stop-Service -Force Remove-Item "$env:SystemRoot\SoftwareDistribution" -Recurse -Force Start-Service bits,wuauserv |
| 5 (recomendado) | Restaurar políticas WSUS | Desactiva la directiva del paso 1 o restablece UseWUServer=1: Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU" ` -Name UseWUServer -Value 1 Ejecuta de nuevo gpupdate para que el equipo vuelva a recibir parches sólo desde WSUS. |
Método alternativo: instalación sin conexión mediante DISM
En algunos entornos el firewall corporativo bloquea cualquier salida hacia Windows Update. En ese caso tendrás que instalar la función de manera 100 % offline:
- Descargar el paquete CAB correspondiente al lenguaje y arquitectura desde un equipo con acceso a Internet o desde los medios ISO de Features on Demand. Para RSAT GPMC, el nombre suele ser
Microsoft-Windows-GroupPolicy-Management-Tools-Package~31bf3856ad364e35~amd64~~.cab. - Copiar el archivo CAB a una carpeta local, por ejemplo
C:\FoD\. - Ejecutar DISM:
DISM /Online /Add-Capability ` /CapabilityName:Rsat.GroupPolicy.Management.Tools~~~~0.0.1.0 ` /Source:C:\FoD ` /LimitAccess - Comprobar la salida
Deployment Image Servicing and Management tool; debería indicar “The operation completed successfully”. - Reiniciar el equipo para que la consola esté disponible en Administrative Tools.
La ventaja de este enfoque es que no requiere modificar las políticas WSUS, pero supone mantener un repositorio interno de FoD actualizado para cada versión de Windows desplegada en la organización.
Automatización con script de PowerShell
Para grandes volúmenes de estaciones de trabajo conviene automatizar el proceso. El siguiente ejemplo realiza todas las tareas habituales, registra un log en C:\Logs\Install_RSATHistory.log y revierte la directiva tras la instalación:
#Requires -RunAsAdministrator
$log = "C:\Logs\Install_RSATHistory.log"
Start-Transcript -Path $log -Append
Write-Host "Habilitando Windows Update temporalmente..."
New-Item -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate" -Force | Out-Null
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU" -Name UseWUServer -Value 0
gpupdate /force
Restart-Service wuauserv
Write-Host "Instalando RSAT GPMC..."
Add-WindowsCapability -Online -Name Rsat.GroupPolicy.Management.Tools~~~~0.0.1.0 -ErrorAction Stop
Write-Host "Restaurando política WSUS..."
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU" -Name UseWUServer -Value 1
gpupdate /force
Stop-Transcript
Write-Host "Proceso completado. Revisa \$log para más detalles."Verificación posterior
- Abre gpmc.msc. Si RSAT se instaló correctamente, la consola se abrirá sin solicitar descarga adicional.
- En PowerShell ejecuta:
Get-WindowsCapability -Online | Where-Object Name -like "GroupPolicy"
y comprueba que el estado seaInstalled. - Revisa el visor de eventos en Applications and Services Logs > Microsoft > Windows > DISM > Operational para asegurarte de que no hay advertencias residuales.
Buenas prácticas de seguridad y cumplimiento
- Documenta cada excepción que permitas en el cortafuegos o en las GPO. Auditores suelen exigir evidencia de que los cambios fueron temporales.
- No reutilices el script anterior sin adaptar la ruta de registro si tu organización administra la directiva a través de Configuration Service Provider (CSP) de Intune.
- Actualiza las imágenes de referencia (WIM) con las RSAT que tu personal necesite. Así evitas manipular WU en producción.
- Cuando uses FoD offline, suma los archivos CAB al WSUS o a un Distribution Point de Config Mgr para reducir el tráfico de red y mantener un único origen confiable.
Preguntas frecuentes (FAQ)
¿Puedo instalar todas las herramientas RSAT a la vez?
Sí. Ejecuta Get-WindowsCapability -Name RSAT* -Online | Add-WindowsCapability -Online. No obstante, es recomendable limitar la superficie de ataque instalando solo lo imprescindible.
¿Cómo sé qué versión de RSAT necesito?
Si tu dominio está en nivel funcional 2016 o posterior y solo necesitas editar GPO, bastará la consola incluida en RSAT para Windows 10 22H2. Para administrar servicios añadidos en Windows Server 2022 (por ejemplo, DNS‑over‑HTTPS), instala la versión más reciente o usa Administración Remota de Windows (WinRM).
¿Falla la instalación si el servicio BITS está deshabilitado?
Sí. BITS (Background Intelligent Transfer Service) es obligatorio para la descarga y, en algunos casos, para mover los archivos CAB dentro de %windir%\WinSxS. Verifica que esté en estado Running (Delayed Start).
¿Qué ocurre si olvido revertir los cambios en las GPO?
Los equipos seguirán contactando Windows Update, lo que puede romper el flujo de parchado, saturar el ancho de banda y exponer la red a versiones de actualización no aprobadas. Por eso el paso 5 es fundamental.
Conclusión
Instalar RSAT – Group Policy Management Tools en Windows 10 22H2 dentro de un dominio estrictamente controlado es totalmente viable siempre que se comprenda el papel de WSUS y se aplique un proceso ordenado. Permitir temporalmente WU, instalar la característica y restaurar la directiva devuelve el equipo a su estado de cumplimiento sin comprometer la productividad ni la seguridad. Para organizaciones con requisitos más estrictos, el método offline ofrece el mismo resultado manteniendo la política de “cero Internet” intacta. Con las pautas de este artículo tendrás una referencia completa, reutilizable y auditada para tu próxima implementación.