none
Windows 10 no carga GPO desde dominio RRS feed

  • Pregunta

  • Estoy actualizando máquinas a W10 en un dominio 2003. El caso es que las máquinas se unen al dominio correctamente, pero sólo carga las gpo por defecto. Tengo dos grupos de gpo definidos en el dominio, el por defecto y el restringido. En el restringido aplicó restricciones a la ejecución de programas, entre otras cosas, pero los W10 no cargan el restringido. Hice pruebas con el gpo por defecto y funciona ok. También  soy capaz de aplicar restricciones desde las directivas de seguridad local de cada máquina W10, pero el grupo de gpo restringido del dominio no soy capaz de que cargue de ninguna manera. Tengo otras máquinas en WXp y W7 que funcionan sin problema con la misma configuración. Cuando hago gpupdate me dice que carga todo correctamente, máquina y usuario. Desde la consola mmc compruebo si carga y veo que no, gpresult me indica que sólo carga las gpo por defecto. Desde W7 y Xp gpresult me dice que carga las dos. Desde el editor de grupos subo de nivel el restringido para que sea el primero en cargar y nada. Los permisos son los correctos para los usuarios probados, además que debe ser así porque sino los Xp y W7 también fallarían. No tengo nada instalado, sólo W10 recién instalados y Unidos al dominio, con y sin parches.

    En fin.... que no se me ocurre que más comprobar. Alguna idea?

    miércoles, 8 de febrero de 2017 9:52

Respuestas

  • Tio, lo siento mucho.. pero no se pueden hacer milagros!

    En pocas palabras: Los clientes concebidos para servidores MS w2k3(*) server son sistemas MS wXP pro. Los clientes MS w10 NO han sido concebidos para funcionar con servidores MS w2k3 (*) server.. y tiene su sentido: hay más de 12 años de diferencia entre cada sistema, y 4 versiones MS wCLIENT entre medias! Bastante es que te "acepte" las GPO a nivel de dominio por defecto..

    Mi metodología consiste en ######## a los directivos de sistemas: tener un entorno de dominio con sistemas SIN soporte oficial de Microsoft es como circular con un coche sin ITV: puede funcionar, pero cuando "casque" (y sabes que lo hará!) la situación será mucho peor que ahora.. y los costes serán al menos, el triple de lo que puede ser actualizar el sistema ahora mismo. Tú sólo eres el músculo ejecutor.. pero debes cubrirte bien #### para prevenir ésta situación. Sabes que cuando ocurra lo peor, tú serás el único culpable! Así que elige: o dispones de un ####### industrial (y actualizas el CV).. o te aseguras de avisar POR ESCRITO acerca del scenario actual..

    Desiderio Ondo || Engineer


    • Editado Moderador M miércoles, 8 de febrero de 2017 16:02 removing expressions
    • Propuesto como respuesta Moderador M miércoles, 8 de febrero de 2017 16:03
    • Marcado como respuesta Moderador M martes, 14 de febrero de 2017 15:51
    miércoles, 8 de febrero de 2017 11:23

Todas las respuestas

  • Hola, miguel.chk:

    Un tema muy parecido había formulado el compañero José Rodríguez hace poco más de 1 año. Te recomiendo sigas las mismas indicaciones que le hice:

    · Compatibilidad Windows 10 y Server 2003 x86 y x64:
    https://social.technet.microsoft.com/Forums/es-ES/442902a2-aa7f-4549-b64b-9aae929e7a77/compatibilidad-windows-10-y-server-2003-x86-y-x64?forum=win10itprogeneralES

    En todo caso, considera que los sistemas MS w2k3 (*) server dejó de tener soporte oficial el pasado Julio-2010.


    Desiderio Ondo || Engineer

    miércoles, 8 de febrero de 2017 10:07
  • Hola Desiderio. Gracias por contestar.

    Con respecto al enlace que me citas:

    Que mas quisiera yo que la empresa me permitiera actualizar el servidor, pero tal y como estan las cosas ahora no es posible. El enlace ya le conocia. Por otra parte veo que las GPO funcionan porque como ya he dicho carga la por defecto sim problema, pero se queda solo con esa.


    • Editado miguel.chk miércoles, 8 de febrero de 2017 11:02
    miércoles, 8 de febrero de 2017 11:01
  • Tio, lo siento mucho.. pero no se pueden hacer milagros!

    En pocas palabras: Los clientes concebidos para servidores MS w2k3(*) server son sistemas MS wXP pro. Los clientes MS w10 NO han sido concebidos para funcionar con servidores MS w2k3 (*) server.. y tiene su sentido: hay más de 12 años de diferencia entre cada sistema, y 4 versiones MS wCLIENT entre medias! Bastante es que te "acepte" las GPO a nivel de dominio por defecto..

    Mi metodología consiste en ######## a los directivos de sistemas: tener un entorno de dominio con sistemas SIN soporte oficial de Microsoft es como circular con un coche sin ITV: puede funcionar, pero cuando "casque" (y sabes que lo hará!) la situación será mucho peor que ahora.. y los costes serán al menos, el triple de lo que puede ser actualizar el sistema ahora mismo. Tú sólo eres el músculo ejecutor.. pero debes cubrirte bien #### para prevenir ésta situación. Sabes que cuando ocurra lo peor, tú serás el único culpable! Así que elige: o dispones de un ####### industrial (y actualizas el CV).. o te aseguras de avisar POR ESCRITO acerca del scenario actual..

    Desiderio Ondo || Engineer


    • Editado Moderador M miércoles, 8 de febrero de 2017 16:02 removing expressions
    • Propuesto como respuesta Moderador M miércoles, 8 de febrero de 2017 16:03
    • Marcado como respuesta Moderador M martes, 14 de febrero de 2017 15:51
    miércoles, 8 de febrero de 2017 11:23
  • MI amigo ahi tienes un problema de compatibilidad con los clientes; si no puedes hacer un upgrade de sistema operativo a tu sevridor creo que no hay otra alternativa
    miércoles, 8 de febrero de 2017 15:23
  • Si yo os contara......

    Ya puedo estar contento porque me dejen actualizar los XPs que todavia tenemos. Los equipos son HP y tienen licencia para W7 con posibilidad de actualizar a W10, asi que supongo que terminare instalando el 7. No obstante intentare hacer algo con las GPO por defecto, visto que es lo unico que carga.

    Sds


    MCH

    miércoles, 8 de febrero de 2017 17:24
  • Me alegra no ser la única a la que su empresa le limita bastante las herramientas y el modus operandi de un informático corriente..........
    viernes, 17 de marzo de 2017 15:13
  • Tambien hay que entender que las empresas sean reacias a actualizar la informatica a cada poco. Instalacion, integracion, produccion, depuracion.... y cuando ya lo tienes funcionando ¿vuelta a empezar?, y eso solo la parte informatica,  y ahora ponte a pensar en los transtornos que se le causan al usuario. Si algo de razon han de tener.

    Por otra parte me he topado con la desagradable sorpresa de que mis equipos W7 recien instalados tienen el mismo problema que el W10 si dejo que se actualicen ellos solitos con windows update. Investigando sobre el porque me he encontrado con la 'Administracion Remota del servidor' para W7 y tambien para W10. Basicamente es un programa que genera toda la estructura de ficheros necesaria para definir las GPOs de cada uno de estos sistemas.  Desde el administrador de equipos y suarios del 2003 no se puede generar GPOs para estos sistemas por razones obvias, pero con estos programas si es posible hacerlo desde algun cliente W7 o W10 y despues copiar los ficheros generados a la carpeta del servidor correspondiente '%sysvol%/dominio/Policies'

    Los ficheros a bajar de la web de microsoft para W10 son:

    WindowsTH-RSAT_WS2016-x86.msu

    WindowsTH-RSAT_WS2016-x64.msu

    Los permisos se han de generar desde el navegador de ficheros.

    Al menos esa es la teoria...... Tengo que montar un laboratorio virtual de pruebas para comprobar que funciona como dicen, pero por ahora me es imposible, tengo a todos mis usuarios 'transtornaos' y dando por ahi......, que si donde esta ahora esto o lo otro, o que no me has pasao aquello.

    Sds


    MCH

    miércoles, 22 de marzo de 2017 9:31
  • Hola miguel.chk!

    Se sobre entiende que ya (SERVER 2003) esta fuera del mercado y no existe soporte ni actualizaciones para el mismo.

    Una pregunta:

    Que tipo de GPO estas intentando aplicar?? 

    La politica aplicada es por equipo o por usuario??

    Saludos!

    lunes, 17 de abril de 2017 17:39
  • Intento aplicar restricciones a la ejecucion de software, solo con eso ya seria feliz. Aparte de eso no dejo entrar al panel de control, acceso a red (administrador de archivos), propiedades de pantalla, y alguna cosilla mas, como el control  de puertos del firewall de windows. Las politicas son por usuario salvo la del firewall que es por equipo.

    Hace años tenia restricciones de acceso al registro y prohibida la ejecucion de cmd.exe, pero los tube que terminar permitiendo porque hay muchos programas que sin eso no funcionan.

    Sds


    MCH

    martes, 18 de abril de 2017 10:17
  • Hola miguel.chk!

    Puedes colocar una imagen de la GPO que tienes actualmente? Y así ayudarte más fácilmente, Antes de montar la imagen tacha el nombre del dominio.

    Saludos!

    jueves, 20 de abril de 2017 15:59