none
Error en directivas de grupo RRS feed

  • Pregunta

  • Estoy tratando de aplicar una directiva de grupo para el control de contraseñas y está habiendo algún problema que no consigo resolver. El server (único DC) es un 2012R2 y los equipos son Windows 10. Si pongo que el equipo se bloquee a los 10 minutos, o no lo hace o lo hace al minuto. Investigando he visto en RSOP que aparentemente hay algún problema, pero no consigo encontrar la causa. ¿Alguna idea?


    lunes, 25 de junio de 2018 11:31

Todas las respuestas

  • Hola, quizás sea yo que no comprendo, o a lo mejor no fuiste claro :)

    Una configuración es el tema de las contraseñas, y otra totalmente diferente el bloqueo de máquina ¿O te refieres a bloqueo de cuenta de usuario? porque son totalmente diferentes

    Todo lo relativo a configuración de cuentas: contraseñas y bloqueo de cuentas se maneja exclusivamente desde la "Default Domain Policy", no lo tomará desde ninguna otra

    Mientras que el bloqueo de pantalla es una configuración de la parte de usuario, que se puede manejar desde cualquier GPO que afecte a la cuenta de usuario

    Si aclaras más el tema seguramente se podrá ayudar mejor

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    lunes, 25 de junio de 2018 13:03
    Moderador
  • Hola, quizás sea yo que no comprendo, o a lo mejor no fuiste claro :)

    Una configuración es el tema de las contraseñas, y otra totalmente diferente el bloqueo de máquina ¿O te refieres a bloqueo de cuenta de usuario? porque son totalmente diferentes

    Todo lo relativo a configuración de cuentas: contraseñas y bloqueo de cuentas se maneja exclusivamente desde la "Default Domain Policy", no lo tomará desde ninguna otra

    Mientras que el bloqueo de pantalla es una configuración de la parte de usuario, que se puede manejar desde cualquier GPO que afecte a la cuenta de usuario

    Si aclaras más el tema seguramente se podrá ayudar mejor

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    Seguramente me he expresado mal. Hay dos cosas que quiero hacer: 

    - Que las contraseñas tengan una caducidad de 180 días, que haya cinco intentos de contraseña errónea antes de bloquear al usuario y que éste se desbloquee a los 5 minutos. 

    - Que si el usuario está inactivo más de 10 minutos se bloquee la sesión y tenga que volver a meter la contraseña. Lo ideal es que salte el salvapantallas que yo voy a poner con el logo de la empresa. 

    Esas son las dos cosas que quiero lograr. Todo lo referente a contraseñas lo he añadido a la Default Domain Policy como se ve en la imagen y como se indica en los manuales y sigue dando el error. En las máquinas problemáticas (todas las del dominio), gpresult /V muestra las directivas que he puesto en el servidor, pero no las aplica. Tampoco cuando hago gpupdate /Force. ¿Es ese el motivo de la cruz roja que aparece en la foto adjunta? 

    Finalmente, tampoco el archivo winlogon.log existe en la ruta indicada por el mensaje de error que aparece en la fotografía. 

    ¿Por dónde empezamos a buscar?

    Gracias!

    lunes, 25 de junio de 2018 17:27
  • Empezamos ... :)

    Veo que usas el RSOP del cliente, en lugar de esa consola, en el editor de GPOs del Dominio usa "Group Policy Results", deberás por un momento bajar el cortafuegos del cliente. Esta opción, además de mostrar todas las configuraciones aplicadas en cada GPO, muestra una ficha "Policy events" donde se pueden ver los errores relacionados

    También es importante usar desde un CMD en el cliente el GPRESULT.EXE, aunque sea con un /R para ver si ahí muestra algún tipo de error

    Si con lo anterior no va, hay que ir al visor de sucesos de cliente y buscar errores relacionados

    Algo más adicional ¿hay más de un Controlador de Dominio? ¿replican sin problemas? ¿errores en el o los Controladores de Dominio?

    Punto importante, descuento que todas todas las máquinas tienen configurado para usar como DNS a el o los Controladores de Dominio ¿o hay algún otro aunque sea como alternativo?

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    lunes, 25 de junio de 2018 21:18
    Moderador