none
GPO usuario dominio como administrador windows 7

    Pregunta

  • Hola tengo un problema y no se como solucionarlo. Os detallo el problema:

     

    Tengo un domino creado con Windows Server 2008. En el domino los sistemas operativos que existen son Windows XP Profesional y Windows 7 Pro. Hay creadas unas GPO para el mapeo de unidades de red al inicio de sesión de los usuarios. Estas GPO se aplican sin  problemas a todos los usuarios de dominio con XP pero a los usuarios que tienen Windows 7 no se aplican. Bueno si se aplican si el usuario del domino que usa el equipo no esta como administrador local. Si el usuario del dominio lo pongo en el grupo de administradores locales de la máquina las GPO´s dejan de ser efectivas.

    Resumiendo que en los equipos con Windows 7 si el usuario del dominio esta como administrador local no se aplica la GPO y si lo saco del grupo de administradores si.

    Alguien me puede ayudar en este tema?

     

    Es necesario que algunos usuarios del domino sean administradores de locales.

     

    Gracias de antemano

    viernes, 09 de septiembre de 2011 20:05

Respuestas

Todas las respuestas

  • Tienes algún tipo de filtro para los Local Admin que evite se apliquen esas GPOs? Un RSoP desde la consola de GPOs (GMPC) escogiendo a algún usuario Local Admin, qué resultado te da?
    Saludos,

    Marc
    MCSA/MCSE 2003
    MCITP: Enterprise Administrator (Windows Server 2008)
    MCITP: Enterprise Messaging Administrator (Microsoft Exchange 2007 & Exchange 2010)
    MCC: Microsoft Community Contributor 2011
    Citrix CCA
    Visita mi blog
    sábado, 10 de septiembre de 2011 13:28
  • Hola Marc,

     

    No tengo filtro alguno. Te paso el resultado de hacer un gpresult en el equipo con W7 y con un usuario del dominio y permisos de administrador en el equipo:

    RSOP datos para EQUILIBRA\jcuevap en W7II : modo de inicio de sesi¢n
    ---------------------------------------------------------------------

    Configuraci¢n del sistema operativo: Estaci¢n de trabajo miembro
    Versi¢n del sistema operativo:       6.1.7600
    Nombre de sitio:                   n/a
    Perfil m¢vil:             n/a
    Perfil local:                        C:\Users\jcuevap
    ¨Conectado a un v¡nculo de baja velocidad?: No


    CONFIGURACIàN DE USUARIO
    -------------------------
        CN=jcuevap pre,OU=IPP,OU=ADNOI,DC=equilibra,DC=es
        éltima vez que se aplic¢ la Directiva de grupo: 10/09/2011 a las 16:32:10
        Directivas de grupo aplicadas desdeNieve.equilibra.es
        Umbral del v¡nculo de baja velocidad de las Directivas de grupo:500 kbps
        Nombre de dominio:                   EQUILIBRA
        Tipo de dominio:                     Windows 2000
       
        Objetos de directiva de grupo aplicados
        ----------------------------------------
            Pagina Inicio
            GPONEGOCIO
            GPOVARIOS
            Default Domain Policy

        Los objetos GPO siguientes no se aplicaron porque fueron filtrados
        -------------------------------------------------------------------
            Directiva de grupo local
                Filtrar:  No aplicado (vac¡o)

        El usuario es parte de los siguientes Grupos de seguridad
        ---------------------------------------------------------
            Usuarios del dominio
            Todos
            Administradores
            Usuarios
            NT AUTHORITY\INTERACTIVE
            INICIO DE SESIàN EN LA CONSOLA
            Usuarios autentificados
            Esta compa¤¡a
            LOCAL
            GW_PRESENTACIONES
            GW_CNIOMS
            GR_PLANTILLAS
            GR_MAQUETAS
            GW_G
            GW_PROYECTOS
            GW_CIPP
            GR_NPRODUCTOS
            GW_TUTORIALES
            GW_IPP
            GR_DI
            GR_INTERCAMBIO
            GR_CDTP
            GW_EQUILIBRA
            GR_CDCM
            GSH_NTRIEDRO
            GW_NARCHIVO
            GSH_ADNOI
            GSH_NIPP
            GR_BIBLIOTECA
            GR_CDTPPROYECTOS
            GSH_CADNOIDTP
            ADN
            GSH_PROVEEDORES
            GR_NMARKETING
            GR_IPP
            GR_PROVEEDORES
            GR_FICHAS
            GSH_INTERCAMBIO
            GR_CESTUDI
            Nivel obligatorio alto
           
        El usuario tiene los siguientes privilegios de seguridad
        --------------------------------------------------------


        Conjunto resultante de directivas para el usuario
        --------------------------------------------------

            Instalaciones de software
            -------------------------
                n/a

            Scripts de inicio de sesi¢n
            ---------------------------
                GPO: Default Domain Policy
                    Nombre:         MAPEOP.VBS
                    Par metros:  
                    éltimo_ejecutado: 14:32:16

                    Nombre:         MAPEOQ.VBS
                    Par metros:  
                    éltimo_ejecutado: 14:32:16

            Scripts de cierre de sesi¢n
            ---------------------------
                GPO: Default Domain Policy
                    Nombre:         cierre.bat
                    Par metros:  
                    éltimo_ejecutado: 14:31:09

            Directivas de clave p£blica
            ---------------------------
                n/a

            Plantillas administrativas
            --------------------------
                GPO: Default Domain Policy
                    Nombre_clave:     Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoWindowsUpdate
                    Valor:       1, 0, 0, 0
                    Estado:       Habilitada

    Redirecci¢n de carpetas
            -----------------------
                n/a

            Interfaz de usuario de la b£squeda de Internet Explorer
            -------------------------------------------------------
                GPO: Pagina Inicio
                    Nombre largo del mapa de bits animado:    n/a
                    Nombre largo del mapa de bits del logotipo personalizado:    n/a
                    Texto de la barra de t¡tulo:                 Pruebas
                    Texto de agente de usuario:                n/a
                    Eliminar los botones existentes de la barra de herramientas: No

            Conexi¢n de Internet Explorer
            -----------------------------
                Servidor proxy HTTP:   192.168.30.53:8080
                Servidor proxy seguro: 192.168.30.100:8080
                Servidor proxy FTP:    192.168.30.100:8080
                Servidor proxy Gopher: 192.168.30.100:8080
                Servidor proxy de socks:  192.168.30.100:8080
                Habilitar configuraci¢n autom tica:  No
          Habilitar proxy: S¡
          Usar el mismo proxy:    S¡

                Servidor proxy HTTP:   n/a
                Servidor proxy seguro: n/a
                Servidor proxy FTP:    n/a
                Servidor proxy Gopher: n/a
                Servidor proxy de socks:  n/a
                Habilitar configuraci¢n autom tica:  No
          Habilitar proxy: No
          Usar el mismo proxy:    No

            Direcciones URL de Internet Explorer
            ------------------------------------
                GPO: Pagina Inicio
                   URL de la p gina principal:                 http://intranet
                    URL de la p gina de b£squeda:               http://www.google.es
                    URL de la p gina de soporte t‚cnico en l¡nea:       n/a

            Seguridad de Internet Explorer
            ------------------------------
                Siempre sitios visibles:     n/a
                Habilitada la invalidaci¢n de la contrase¤a: Falso

                Siempre sitios visibles:     n/a
                Habilitada la invalidaci¢n de la contrase¤a: Falso

                GPO: Pagina Inicio
                    Importar la configuraci¢n actual de las clasificaciones
                    de contenido:    No
                    Importar la configuraci¢n de seguridad actual       No
                    Importar la informaci¢n actual de informaci¢n de
                    seguridad de Authenticode: No
                    Habilitar el bloqueo del publicador de confianza:              No

            Programas de Internet Explorer
            ------------------------------
                GPO: Pagina Inicio
                    Importar la configuraci¢n actual de programa: No

    Fijate que no se aplican. Esto lo acabo de hacer y la última vez que se aplicaron es cuando quité del grupo de administradores al usuario. Las 14:30 de ayer. 

     

    Como ya te he contado si lo saco del grupo de administadores locales, las politicas se aplican sin problema alguno. De las tres de ellas, dos de ellas son para mapear unidades de red.

     

    Si me puedes ayudar a solucionarlo me harías un gran favor.

     

    Gracias

    sábado, 10 de septiembre de 2011 15:10
  • Hola FJMolero,

    Has descartado que no se trate de un problema de permisos NTFS en el SYSVOL? Sigue el workarround del link para comprobar los permisos.

    Users who are in a group that you have denied Write permissions for in the access control list of a Group Policy object (GPO) cannot access the GPO folder in Windows Server 2003

    Suerte.


    Check my qualifications here.
    Check my blog
    here.


    • Editado Marti Peig lunes, 24 de octubre de 2011 16:07
    • Propuesto como respuesta Marti Peig viernes, 18 de noviembre de 2011 9:47
    • Votado como útil Marti Peig viernes, 18 de noviembre de 2011 9:59
    lunes, 24 de octubre de 2011 16:06
  • Hola,

     

    Si que he descartado esto y aún sigo con el mismo problema.

     

    Gracias

    viernes, 18 de noviembre de 2011 9:54
  • No lo acabo de ver.

    El RSoP dice

    Objetos de directiva de grupo aplicados
    ----------------------------------------
    Pagina Inicio
    GPONEGOCIO
    GPOVARIOS
    Default Domain Policy

    Pero tu me comentas que no realmente no es así. Además, lo que me descoloca es que si no son Local Admin sí se apliquen (lo normal es al revés).

    Si añades al usuario como Local Admin y vuelves a ejecutar un RSoP, qué diferencias se ven en el log?


    Saludos,

    Marc
    MCSA/MCSE 2003
    MCITP: Enterprise Administrator (Windows Server 2008)
    MCITP: Enterprise Messaging Administrator (Microsoft Exchange 2007 & Exchange 2010)
    MCC: Microsoft Community Contributor 2011
    Citrix CCA
    Visita mi blog en ITPro.es
    MCP Virtual Bussines Card
    viernes, 18 de noviembre de 2011 10:42
  • Buenos días,

    Disculpad por retomar este hilo aunque no tenga actividad desde hace unos meses, pero justamente me he encontrado ahora con este mismo problema.

    Tengo un dominio montado sobre 2003 server, y las políticas de grupo se aplican bien sobre clientes con XP, incluso si el usuario es administador del equipo. Sin embargo, cuando he comenzado a montar equipos con Windows 7 han empezado los problemas. Primero pensé que había algún tipo de incompatibilidad entre 2003 server y windows 7, y seguí una guía para instalar el administrador de directivas de grupo en un equipo con Windows 7 y generar las directivas para los windows 7 desde este.

    Cuando me logeaba con un usuario nuevo en una máquina con windows 7 la directiva se aplicaba, pero si lo hacía con un usuario que ya se había logueado antes de aplicar la directiva no (creía que era eso). Pero al leer este hilo me he dado cuenta que es porque el usuario que ya estaba logueado estaba como administrador del equipo. Al dejarlo como usuario normal, se aplica la directiva.

    No se si FJMolero llegaría a dar con el problema o si me podéis ayudar.

    Gracias y un saludo.

    Edito:

    El problema lo tengo con la directiva "Prohibir el acceso a las propiedades de una conexión LAN" que es la que quiero aplicar, pero he probado a aplicar otra, por ejemplo, "Cargar un archivo específico de estilo visual o forzar Windows clásico" y lo hace correctamente.

    • Editado Borjasan martes, 06 de marzo de 2012 10:10 +info
    martes, 06 de marzo de 2012 8:14
  • Hola, Borjasan:

    La aplicación de GPO a nivel de dominio viene definido por los filtros de pertenencia a grupos del usuario afectado de forma gradual, de modo que si "user-A" pertenece a los grupos "grupo-A" (de privilegios reducidos al que además le afectan las GPO de dominio) Y "grupo-B" (al que NO están filtradas las GPO y además tiene privilegios más elevados), tiene como resultado que a "user-A" NO se le apliquen las GPO.

    Como bien has señalado, éste "detalle" se hace patente especialmente en sistemas MS w7ven ya que requiere la aplicación de directivas adicionales no existentes en MS w2k3 server nativo al ser específicas para SO más modernos.

    La "solución" más viable viene por la asignación de grupos de pertenencia por GPO de dominio. Desde la ruta "Conf. del equipo => Conf. del Windows => Conf. de seguridad => Grupos de restricción", configurando los usuarios que te interesan a que pertenezcan a un grupo con ciertos privilegios.


    Desiderio Ondo | Bachellor Science in Computer engineering | MCSE 2k3 certified | ITIL certified

    martes, 20 de marzo de 2012 12:34
  • miércoles, 11 de abril de 2012 11:23