none
las directivas no se cumplem en windows server 2003 RRS feed

  • Pregunta

  • algien me puede ayudar por favor, tengo un servidor windows server 2003 y una maquina coiente con windows xp integrada al dominio.
    en el servidor creo un usuario y le doy politicas y al momento de entra con ese usuario desde la maquina coiente no se cuplen las directivas que le dia a ese usuario,
    y cuando elimino  a usuario del servidor y trato de ingresar desde la maquina cliente con ese usuario tambien igual ingresa apesar que ya elimine ese usuario en el servidor,
    y cuando  apago el servidor los uduario  tambien ingresan al dominio desde la maquina ciente.
    si alguien me explicara que es lo que esta pasando porfavor
    viernes, 13 de noviembre de 2009 23:53

Respuestas

  • Hola,

    Comprueba que los equipos clientes, que segun nos comentan reciben la configuración por DHCP, su DNS apunta al servidorWS2003. Si el DNS de los clientes no apunta al servicio DNS de tu WS2003 no se aplicarán las GPO que configures. Asi mismo, comprueba en el servidor DNS que aparecen los registros de tus equipos tanto en la zona de busqueda directa como en la zona de busqueda inversa.

    Como buena práctica para gestionar las GPO's se recomienda el uso de la herramienta GPMC. (Group Policy Management Console). Si no la estás usando te recomiendo su instalación y uso. Desde la consola de GPMC te será más fácil gestionar las diferentes directivas de grupo aplicadas a usuarios o equipos en tu Dominio.

    Group Policy Management Console with Service Pack 1 - Español
    http://go.microsoft.com/fwlink/?LinkId=58541

    Más información en technet sobre Directivas de Grupo:
    http://technet.microsoft.com/en-us/windowsserver/grouppolicy/default.aspx

    Un saludo.
    sábado, 14 de noviembre de 2009 11:17
  • Por lo que veo del resultado del GPRESULT no se está aplicando ninguna GPO (política) salvo la del DOMINIO.
    Las políticas se aplican a nivel de usuarios o equipos.
    Dichos usuarios y/o equipos deben estar incluidos en una OU (Unidad organizativa) y la GPO previamente definida aplicada a la OU.

    Si no está hecho así las GPO no se aplican.
    Es probable que el equipo esté en el contenedor COMPUTERS y por ello no le apliquen las GPO a nivel de equipos.

    Finalmente es muy importante que verifiques como te sugirió Tomás que el equipo cliente tenga configurado como UNICO DNS la IP del DC (Domain Controller).

    Saludos.

    Rafael Villaseñor Jofre - GrupoITPro - Colabora con el foro y vota si el mensaje es útil.
    sábado, 14 de noviembre de 2009 15:26
    Moderador
  • Tal vez yo no he sido del todo claro.

    Entendí tu necesidad, pero si realizas configuraciones de seguridad en una GPO y la aplicas a nivel de OU las mismas no incidirán en los usuarios del dominio sino que en los usuarios locales del equipo.
    http://technet.microsoft.com/es-es/library/cc736516(WS.10).aspx


    Por ende no se pueden aplicar configuraciones de seguridad a usuarios específicos del dominio.
    Espero haber sido mas claro.

    Saludos.



    Rafael Villaseñor Jofre - GrupoITPro - Colabora con el foro y vota si el mensaje es útil.
    sábado, 14 de noviembre de 2009 18:07
    Moderador

Todas las respuestas

  • Hola...

    Esta fenomenología solo ocurre en el mismo equipo cliente o en todos?
    Podrías detallarnos la configuración de las placas de red del DOMAIN CONTROLLER y del equipo cliente?
    Las políticas que mencionas, son a nivel de equipo o de usuario?
    Cual es la política?

    Por favor ejecuta en el equipo cliente con el usuario en cuestión el siguiente comando desde CMD: gpresult
    Pega aquí el resultado.

    Saludos.

    Rafael Villaseñor Jofre - GrupoITPro - Colabora con el foro y vota si el mensaje es útil.
    sábado, 14 de noviembre de 2009 0:06
    Moderador
  • en realidad he probado con muchas politicas para verificar si se cumplen algunas pero no pasa nada con ninguas, no se  aplican ni a los usuarios ni a los equipos,

    el cliente la configuracion de tcpip recibe las direcciones mediante dhcp, ewl servidor tiene Ip fija y el mismo es su propio DNS.

    cuando hago el pgresult: me sale
    usuarios del dominio
    todos
    admisnistradores
    acceso compatible con  versiones anteriores a windows 2000
    NT AUTORITY\INTERACTIVE
    usuarios autentificados
    esta compañia
    LOCAL
    admisnitradores de organizacion
    admisnityradores de esquema
    propietarios del creador de directivas de grupo
    admins. del dominio
    sábado, 14 de noviembre de 2009 0:24
  • cuando ejecuto ese comando dice que :
    default domain police controller policy
    default domain police

    LOS OBJETOS GPO SIGUIENTES NO SE APLICARON PORQUE FUERON FILTRADOS
    directiva de grupo local
    filtrar: no  aplicado vacio

    EL EQUIPO ES MIEMBRO DE LOS GRUPOS DE SEGURIDAD SIGUIENTES


    CONFIGURACION DE USUARIO

    directivas de grupo aplicadas desde srv-dc01.dominio.local
    umbral de vinculo lento de las directivas de grupo500 kbps
    nombre de dominio: dominio
    tpo de dominio: windows 2000

    OBJETOS DE DIRECTIVA DE GRUPO APLICADOS
    default domain police

    LOS OBNJETOS DE GPO SIGUIENTES NO SE APLICARON POR QUE FUERON FILTRADOS
    directiva de grupo local
    filtrar: no aplicado (vacio)

    sábado, 14 de noviembre de 2009 0:45
  • Hola,

    Comprueba que los equipos clientes, que segun nos comentan reciben la configuración por DHCP, su DNS apunta al servidorWS2003. Si el DNS de los clientes no apunta al servicio DNS de tu WS2003 no se aplicarán las GPO que configures. Asi mismo, comprueba en el servidor DNS que aparecen los registros de tus equipos tanto en la zona de busqueda directa como en la zona de busqueda inversa.

    Como buena práctica para gestionar las GPO's se recomienda el uso de la herramienta GPMC. (Group Policy Management Console). Si no la estás usando te recomiendo su instalación y uso. Desde la consola de GPMC te será más fácil gestionar las diferentes directivas de grupo aplicadas a usuarios o equipos en tu Dominio.

    Group Policy Management Console with Service Pack 1 - Español
    http://go.microsoft.com/fwlink/?LinkId=58541

    Más información en technet sobre Directivas de Grupo:
    http://technet.microsoft.com/en-us/windowsserver/grouppolicy/default.aspx

    Un saludo.
    sábado, 14 de noviembre de 2009 11:17
  • Por lo que veo del resultado del GPRESULT no se está aplicando ninguna GPO (política) salvo la del DOMINIO.
    Las políticas se aplican a nivel de usuarios o equipos.
    Dichos usuarios y/o equipos deben estar incluidos en una OU (Unidad organizativa) y la GPO previamente definida aplicada a la OU.

    Si no está hecho así las GPO no se aplican.
    Es probable que el equipo esté en el contenedor COMPUTERS y por ello no le apliquen las GPO a nivel de equipos.

    Finalmente es muy importante que verifiques como te sugirió Tomás que el equipo cliente tenga configurado como UNICO DNS la IP del DC (Domain Controller).

    Saludos.

    Rafael Villaseñor Jofre - GrupoITPro - Colabora con el foro y vota si el mensaje es útil.
    sábado, 14 de noviembre de 2009 15:26
    Moderador
  • la configuracion por DHCP esta bien, los equipos recibne las direcciones perfectame, los equipos reciben las direcciones por DHCP, el DNS tambien esta bien configurado.

    mira lo que yohago para aplicar una direcctiva es:

    primero creo una unidad organizativa en active directory,dentro de ella una oficina y dentro de la oficina un usuario.
    luego abro el MMC y desde ahi agrego el complemento administrador de directivas de grupo (GPMC), busco en el administrador de directivas que agrege en la consola MMC la unidad organizativa , y en la oficina hago click derecho y hago CREAR Y VINCULAR UN GPO AQUI,

    se crea un objeto dentro de la oficina que contiene un usuario, luego en ese objeto le hago click derecho y hago click en EDITAR y se abre otra ventana que es el EDITOR DE OBJETOS DE DIRECTIVAS DE GRUPO, bueno y ahi doy las directivas, guardo.

    ejecuo el pgupdate y el pgupdate /force. bueno nose que estaria mal pero yo creo que el que noseria por DHCP ni por la configuracion de DNS
    sábado, 14 de noviembre de 2009 15:33
  • la configuracion por DHCP esta bien, los equipos recibne las direcciones perfectame, los equipos reciben las direcciones por DHCP, el DNS tambien esta bien configurado.

    mira lo que yohago para aplicar una direcctiva es:

    primero creo una unidad organizativa en active directory,dentro de ella una oficina y dentro de la oficina un usuario.
    luego abro el MMC y desde ahi agrego el complemento administrador de directivas de grupo (GPMC), busco en el administrador de directivas que agrege en la consola MMC la unidad organizativa , y en la oficina hago click derecho y hago CREAR Y VINCULAR UN GPO AQUI,

    se crea un objeto dentro de la oficina que contiene un usuario, luego en ese objeto le hago click derecho y hago click en EDITAR y se abre otra ventana que es el EDITOR DE OBJETOS DE DIRECTIVAS DE GRUPO, bueno y ahi doy las directivas, guardo.

    ejecuo el pgupdate y el pgupdate /force. bueno nose que estaria mal pero yo creo que el que noseria por DHCP ni por la configuracion de DNS

    Para interpretarte mejor, que sería "una OFICINA"?
    Hay errores relacionados con este tema en el VISOR DE SUCESOS tanto desde el server como desde el equipo cliente?

    Rafael Villaseñor Jofre - GrupoITPro - Colabora con el foro y vota si el mensaje es útil.
    sábado, 14 de noviembre de 2009 15:37
    Moderador
  • oficina =OU
    sábado, 14 de noviembre de 2009 15:44
  • Hay eventos?
    Que directivas estás configurando?
    Tienes mas de un DC?


    Rafael Villaseñor Jofre - GrupoITPro - Colabora con el foro y vota si el mensaje es útil.
    sábado, 14 de noviembre de 2009 15:46
    Moderador
  • qquier que a un usuario se le bloquee la cuenta despues de haber hecho 3 intentos errados al dominio, bloquear el pnela de control, pero como dije he intentado muchas para ver si alguna de ellas se cumplen , pero nada.
    solo tengo un controlador de dominio.
    sábado, 14 de noviembre de 2009 15:55
  • Eventos en el VISOR DE SUCESOS del lado del server y del cliente?
    Hay mas de un DC?

    Rafael Villaseñor Jofre - GrupoITPro - Colabora con el foro y vota si el mensaje es útil.
    sábado, 14 de noviembre de 2009 15:56
    Moderador
  • pude resolver las directivas pero solo se aplican en los usaurios, osea.
    en el EDITOR DE DIRETIVAS DE GRUPO  hay dos secciones los de EQUIPOS Y USUARIOS, las directivas para usuarios se cumplen pero para equipos NO.

    en la seccion de EQUIPOS hay una directiva que es DIRECTIVA DE CUENTA/BLOQUEO DE DIRECTIVA DE CUENTA esa opcion de directiva de cuenta quiero aplicarla a los usuarios(pero esa directiva esta en la seccion de equipos), entonces como lo hago para hacer que:

    a un usuario se le bloque su cuenta al intentar colocar su contraseña 3 veces erradas.
    algien podria explicareme eso ???
    sábado, 14 de noviembre de 2009 17:30
  • Las directivas de seguridad solo se definen a nivel de dominio.
    Para ello debes configurar la policy llamada Default Domain Policy.
    Es por ello que no se aplica.

    Puedes probar por ejemplo la asignación de software o aplicación de logon scripts.



    Saludos.

    Rafael Villaseñor Jofre - GrupoITPro - Colabora con el foro y vota si el mensaje es útil.
    sábado, 14 de noviembre de 2009 17:48
    Moderador
  • bueno creo que no entiendiste, lo que quiero es que un usuario especifico, al momento de iniciar sesion en el dominio desde una maquina cliente, y este pone por error su clave 3 veces... su cuenta se bloquee por un tiempo especifico, puede ser que se bloque opr media hora por ejemplo.
    sábado, 14 de noviembre de 2009 17:57
  • Tal vez yo no he sido del todo claro.

    Entendí tu necesidad, pero si realizas configuraciones de seguridad en una GPO y la aplicas a nivel de OU las mismas no incidirán en los usuarios del dominio sino que en los usuarios locales del equipo.
    http://technet.microsoft.com/es-es/library/cc736516(WS.10).aspx


    Por ende no se pueden aplicar configuraciones de seguridad a usuarios específicos del dominio.
    Espero haber sido mas claro.

    Saludos.



    Rafael Villaseñor Jofre - GrupoITPro - Colabora con el foro y vota si el mensaje es útil.
    sábado, 14 de noviembre de 2009 18:07
    Moderador
  • uhmm ,ok entiendo , muchas gracias amigo
    sábado, 14 de noviembre de 2009 19:40