none
Como Eliminar una GPO de un Grupo Determinado de Clientes RRS feed

  • Pregunta

  • Muy Buenas

    Tengo una GPO que he venido aplicando a todo mi dominio, ahora tengo la necesidad de dividir mi dominio en 3 grandes grupo y aplicar tres politicas diferentes, por ejemplo:

    Si mi GPO fuera para definir un Fondo de Pantalla para todos usaria una GPO igual para todos... Hasta ahi todo va bien...

    La necesidad que me surge ahora es dividir a mis usuarios e tres y aplicarles fondos de pantallas a cada grupo por separado... Entonces podria crear 2 GPO nuevas y reutilizar la que ya tengo...

    Partiendo de este ejemplo lo que hice fue crear las 2 GPO nuevas y en la GPO que ya existia le cambie el scope y le dije que se aplique solo al grupo 1...

    Lo interesante del caso es que en las computadoras que pertenecen al grupo 2 y 3 aun la GPO se aplica y en algunos equipos se me ha generado conflictos...

    Segun el gpresult esta es la informacion de una de las maquina del grupo 2...

      Applied Group Policy Objects
        -----------------------------
            GPO-Original
            Default Domain Policy
            GPO-NuevaParaGrupo2

    Gracias por sus comentarios...
    mjk_b25
    lunes, 11 de enero de 2010 21:34

Respuestas

  • Hola Mjk_b25: Lo primero que tienes que recordar, es que la configuración de usuario y equipo se aplican de forma independiente, te lo recuerdo puesto que si utilizas filtrado de seguridad, que por lo que pones en la pregunta me parece estas utilizando, si haces grupos de seguridad únicamente con usuarios y la configuración aplica también a equipo nunca lo filtraría.

    Te adjunto un link que habla del filtrado de seguridad y te resumo un poco que es lo que tienes que hacer.

    http://www.windowsnetworking.com/articles_tutorials/Group-Policy-Security-Filtering.html

    En tu ejemplo lo primero que tienes que hacer es crear 3 grupos de seguridad vamos a llamarlos A, B y C. En cada uno de estos grupos vas a meter a todas las cuentas de usuario y de equipo que quieras que se aplique la política.

    Después creas 3 políticas, GPO-1, GPO-2  y GPO-3, cada una de ellas la configuras con los valores que quieras aplicar, una vez configurada te vas a filtrado de seguridad y quitas al grupo Usuarios Autentificados que viene por defecto y agregas al grupo que quieras que se aplique la política.

    Por último las vinculas al dominio (por continuar con tu ejemplo, no es lo recomendable).

    Recuerda que los equipos cliente tardan en actualizar las políticas 90 min +/- 30 min y los controladores de dominio 5 min ó puedes utilizar el comando gpupdate.

     

    Saludos y suerte mantenme informado y si te puedo ayudar en algo mas dímelo.

    Juan Valenzuela

    MCT, MCSA, MCSE, MCITP,

    lunes, 11 de enero de 2010 22:22

Todas las respuestas

  • Hola Mjk_b25: Lo primero que tienes que recordar, es que la configuración de usuario y equipo se aplican de forma independiente, te lo recuerdo puesto que si utilizas filtrado de seguridad, que por lo que pones en la pregunta me parece estas utilizando, si haces grupos de seguridad únicamente con usuarios y la configuración aplica también a equipo nunca lo filtraría.

    Te adjunto un link que habla del filtrado de seguridad y te resumo un poco que es lo que tienes que hacer.

    http://www.windowsnetworking.com/articles_tutorials/Group-Policy-Security-Filtering.html

    En tu ejemplo lo primero que tienes que hacer es crear 3 grupos de seguridad vamos a llamarlos A, B y C. En cada uno de estos grupos vas a meter a todas las cuentas de usuario y de equipo que quieras que se aplique la política.

    Después creas 3 políticas, GPO-1, GPO-2  y GPO-3, cada una de ellas la configuras con los valores que quieras aplicar, una vez configurada te vas a filtrado de seguridad y quitas al grupo Usuarios Autentificados que viene por defecto y agregas al grupo que quieras que se aplique la política.

    Por último las vinculas al dominio (por continuar con tu ejemplo, no es lo recomendable).

    Recuerda que los equipos cliente tardan en actualizar las políticas 90 min +/- 30 min y los controladores de dominio 5 min ó puedes utilizar el comando gpupdate.

     

    Saludos y suerte mantenme informado y si te puedo ayudar en algo mas dímelo.

    Juan Valenzuela

    MCT, MCSA, MCSE, MCITP,

    lunes, 11 de enero de 2010 22:22
  • Juan gracia por tu respuesta

    Te comento que estoy aplicando la GPO (la version de prueba) a 3 equipos y en la parte de seguridad elimine el grupo Usuarios Autentificados y solo agregue los 3 equipos en cuestion...

    A la GPO orinal le agregue los 3 grupos (pq por el momento no voy a hacer el cambio) entonces me quedaron todos los usuario con la GPO original... y los 3 equipos ademas de tener la GPO origanal tienen la nueva GPO (la version de prueba)

    Ambas GPO hacen referencia a configuraciones de equipo y no de usuarios...

    Gracias,


    mjk_b25
    martes, 12 de enero de 2010 0:11
  • Hola mjk_b25

    Si todas las GPO´s hacen referencia a la misma configuración recuerda que la última en aplicarse es la que tiene precedencia (es la que se aplica), revisa el orden en que se aplican las directivas de grupo. Si tienes instalado la GPMC lo puedes ver dando click sobre tu dominio, en las pestañas del lado derecho te aparece Objetos de directiva de grupo Vinculados y en la parte de abajo el orden, la que tiene el número menor es la ultima que se va a aplicar.

    Lo que te puedo recomendar que hagas es una Unidad Organizativa por cada una de las configuraciones de equipo y vincular las directivas de grupo directamente a estas, así no tendrías que aplicar el filtrado de seguridad. Esto tambien debido a que aunque quites el grupo usuarios autentificados, no se elimina la aplicación de la directiva debido a que la configuración es de equipo.

    Por lo que entiendo en tu pregunta es que no se te está aplicando la nueva GPO que hiciste en para comprobar, también puedes utilizar gpupdate /force.

    Si pruebas y persiste el problema, describe con más detalle los conflictos que te genera y lo revisamos.

    Saludos,

    Juan Valenzuela

    MCT, MCSA, MCSE, MCITP

    • Marcado como respuesta Atilla ArrudaModerator martes, 12 de enero de 2010 19:11
    • Desmarcado como respuesta Jimcesse martes, 12 de enero de 2010 20:20
    martes, 12 de enero de 2010 5:27