none
Problema con las directivas locales RRS feed

  • Pregunta

  • Buenas tardes,

    Soy novatillo en WS2008 y desde que le uso, ademas de funcionar muy bien, me hago un lío tremendo con las GPOs.

    El problema que tengo ahora es que no soy capaz de de dar permisos de acceso por TS a un nuevo grupo de usuarios que he creado. Tengo 5 grupos creados desde que instalé el servidor. Los usuarios de dichos grupos entran perfectamente por TS, ya que en su momento, además de dar los "permisos necesarios", tambien añadí dichos grupos a las GPOs siguientes, ya que no podían acceder simplemente perteceniendo al grupod de usuarios de escritorio remoto:

    "Crear Objetos globales"

    "Permitir inicio de sesion a traves de servicios de terminal server"

    "Quitar el equipo de la estación de acoplamiento"

     

    Ahora el problema es que cuando he creado un grupo nuevo y quiero asignarle esas políticas, simplemente, NO puedo. No soy capaz de dar con el lugar donde asignar o modificar dicha política. Os dejo dos imágenes para que veais porque me estoy volviendo un poco loco con este tema:

    http://i1092.photobucket.com/albums/i411/jlennon30/Directivadefaultdomainpolicy.png

    http://i1092.photobucket.com/albums/i411/jlennon30/Directivadeseguridadlocal.png

    Como sabéis no se puede modificar nada en directivas de locales, ya que todo sale en gris. Pero cuando me voy a "Directiva default domain policy", veo que dichas poíticas no me aparecen configuradas ahí. Llegados a este punto no tengo ni idea de donde buscar. Con lo bien que estábamos con W2003... jejeje

    Seguro que me podeis ayudar.

     

    Gracias por vuestra paciencia.


    • Editado JLennon miércoles, 21 de septiembre de 2011 12:57
    miércoles, 21 de septiembre de 2011 12:56

Respuestas

  • Primer consejo :-)
    Lee el artículo que está arriba de todo en el foro que te va a ayudar:
    http://social.technet.microsoft.com/Forums/es-ES/wsgpes/thread/b1b8f0ed-4b91-4475-b311-79188a2f5853

    Si lo que estás tratando de hacer es que los usuarios ingresen por TS a un Controlador de Dominio, la GPO que hay que editar es la Default Domain Controllers Policy (que no la Default Domain Policy)

    Y lo que necesitan, si no son administradores de dominio, es pertenecer al grupo Remote Desktop Users, y *además* el derecho (Right) Allow Logon Locally

    Como comentario. Que no-administradores puedan entrar por TS/Escritorio Remoto a un Controlador de Dominio es un problema grave de seguridad

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    • Propuesto como respuesta Uriel Almendra viernes, 12 de abril de 2013 17:26
    • Marcado como respuesta Uriel Almendra viernes, 12 de abril de 2013 17:26
    miércoles, 21 de septiembre de 2011 13:01
    Moderador

Todas las respuestas

  • Primer consejo :-)
    Lee el artículo que está arriba de todo en el foro que te va a ayudar:
    http://social.technet.microsoft.com/Forums/es-ES/wsgpes/thread/b1b8f0ed-4b91-4475-b311-79188a2f5853

    Si lo que estás tratando de hacer es que los usuarios ingresen por TS a un Controlador de Dominio, la GPO que hay que editar es la Default Domain Controllers Policy (que no la Default Domain Policy)

    Y lo que necesitan, si no son administradores de dominio, es pertenecer al grupo Remote Desktop Users, y *además* el derecho (Right) Allow Logon Locally

    Como comentario. Que no-administradores puedan entrar por TS/Escritorio Remoto a un Controlador de Dominio es un problema grave de seguridad

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    • Propuesto como respuesta Uriel Almendra viernes, 12 de abril de 2013 17:26
    • Marcado como respuesta Uriel Almendra viernes, 12 de abril de 2013 17:26
    miércoles, 21 de septiembre de 2011 13:01
    Moderador
  • Perfecto. Debo acceder a "Default Domain Controllers Policy", la cuestion es que no sé donde se encuentra. Busco en plantillas administrativas y no aparece. Tengo Windows en castellano.

     

    Respecto a lo del fallo de seguridad, soy consciente de ello. Aunque no lo tacharía de grave. Por otro lado, tengo varios usuarios que se encuentran en otras sedes de la empresa. Dichos usuarios se tienen conectar al servidor para usar un software corporativo, y además necesitan usar carpetas del server etc. He probado la opcion de "remoteapp", pero necesitan carpetas que estan dentro del server para poder usar el programa. Además remoteapp va muy lento en comparación al TS de toda la vida. Las VPN son complicadas de configurar para los usuarios básicos y además no creo que me sirvan para lo que necesito. Seguro que a tí se te ocurren mejores opciones para lo que necesito, así que soy todo oidos.

     

    Muchas gracias Guillermo. Siempre estás ahí para ayudarnos.

    jueves, 22 de septiembre de 2011 7:36
  • Lo he encontrado. Estaba tan ofuscado que no me dí cuenta que estaba justo en medio del arbol. Gracias de nuevo.

     

    A ver si me puedes aportar alguna opinion sobre el tema de la seguridad y de como hacer el tema que tengo entre manos. Una cosa que estoy barajando es tambien cambiarle el puerto al TS. Y además estoy usando Dyndns para acceder.

     

    Un saludo

    jueves, 22 de septiembre de 2011 10:02
  • No te ofusques, recuerda el dicho: "nunca le demuestres a una PC que estás enojado o apurado" :-D

    Respecto a otras opciones no hay muchas. Personalmente si hay que entrar por TS yo prefiero hacer VPN que no es complicado. Lo que no usaría es al propio DC como servidor VPN porque con varias IPs un DC trae otras complicaciones. Pero podrías hacer VPN al Router y listo.

    Para crear la conexión VPN desde el punto de vista "usuario básico" es muy sencillo, inclusive se la puedes crear tú y ya le queda para siempre

    Si quieres probar, en este enlace tienes un paso a paso con capturas de pantalla muy fácil de seguir

    Demostración Conectando Clientes a la Red por VPN – Windows Server 2008-R2 y Windows 7 – Parte 1 por PPTP « WindowServer:
    http://windowserver.wordpress.com/2011/07/09/demostracin-conectando-clientes-a-la-red-por-vpn-windows-server-2008-r2-y-windows-7-parte-1-pptp-2/

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    jueves, 22 de septiembre de 2011 10:36
    Moderador
  • Muchas gracias. Estudiaré el tema de la VPN.

     

    Un cordial saludo

    lunes, 26 de septiembre de 2011 6:53
  • Una cosa más y acabo... jejeje

     

    ¿Como puedo configurar políticas específicas para usuarios de TS?

    Basicamente quiero que cuando acceda determinado grupo de usuarios por TS, no puedan acceder a internet, no puedan ver absolutamente nada más que su escritorio con un software determinado y una carpeta determinada.

     

    Gracias

    lunes, 26 de septiembre de 2011 11:48
  • Creo que vas comprendiendo lo que puse antes: "Que no-administradores puedan entrar por TS/Escritorio Remoto a un Controlador de Dominio es un problema grave de seguridad"
    :-D :-D :-D

    No tanto como pides, aunque puedes ponerle algunas limitaciones para cuando entren por TS.

    El tema pasa por ponerle por GPO, en la parte User Configuration más restricciones

    En una GPO que afecte al DC, ingresa en Computer Configuration / Policies / Administrative Templates / System / Group Policy y habilita User Group Policy Loopback Processing Mode, en modo Replace.

    Luego, en esa misma GPO, ponle la configuración de usuario más restrictiva.

    De esta forma se reemplazan las configuraciones de User Configuration de la GPO de máquina, a las de User Configuration de las GPOs de usuario

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    lunes, 26 de septiembre de 2011 12:40
    Moderador
  • EDITO:

    Muchas gracias. He activado el bucle inverso dentro de la GPO específica que he creado para el grupo de usuarios al que se la quiero aplicar. Dentro de dicha GPO en la zona del arbol referente a "Equipo", que no a usuario, he activado el bucle. He aplicado alguna restriccion y me funciona.

     

    PD: he habilitado el bucle en "equipo" en vez de usuarios, porque en usuarios no aparece... :S

    PD2: Ahora me estoy planteando bloquear internet... uff otra batallita!


    • Editado JLennon martes, 27 de septiembre de 2011 9:58
    martes, 27 de septiembre de 2011 8:12
  • Si, el tema del "bucle inverso" está en la parte de usuario como puse antes. Lo que digo es que hay que habilitarlo en la parte de máquina, y hacer las configuraciones en la parte de usuario.

    Y como te puse antes, esa GPO debe aplicarse *al equipo*, no a los usuarios

    Es difícil explicar cómo funciona el tema del bucle inverso :-)
    Aplica "user configuration" de las GPO de máquina

    No tienes que crear ningún grupo. Las GPOs no se aplican a grupos de AD (salvo por el Security Filtering)

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    martes, 27 de septiembre de 2011 11:06
    Moderador
  • Muchas gracias. Tambien por el artículo de las GPOs. Muy Util.

    miércoles, 28 de septiembre de 2011 10:52