none
Problemas la vincular una GPO RRS feed

  • Pregunta

  • Situación:
    Un servidor Windows Server 2003 R2 Controlador de Dominio y Servidor de Terminal Services.
    A este servidor se conectan usuarios administradores y usuarios basicos de escritorio remoto que ejecutan aplicaciones de gestión administrativa.
    El modo de licencias de TS es por usuario y el servidor esta declarado como de aplicaciones.

    Descripción de las GPO's.
    Default Domain Controllers Policy i Default Domain Policy estan sin modificar, tal qual.
    Creamos una Unidad organizativa nueva, con usuarios dentro. Y vinculamos una nueva GPO a esta unidad organizativa usando gpmc.msc.
    Esta Unidad organizativa es para los usuarios de escritorio remoto basicos que he comentado anteriormente.
    Con esta GPO, entre otras cosas queremos conseguir que las sesiones de TS inactivas y desconectadas al cabo de un tiempo concreto se terminen y ademas establecer un tiempo limite para las sesiones. (solo para estos usuarios)
    Editamos la nueva GPO, y en la parte de configuracion de equipo modificamos Componentes de Windows / Terminal Services / Sesiones con los tiempos que nos interesan, en este caso terminar sesiones inactivas y desconectadas a los 10 min y limite de sesion 1h.
    En la opción de Terminar sesiones cuando se alcancen los limites de tiempo, no me queda muy claro pero marco la opcìón Deshabilitado. (Tambien he porobado con las otras 2 opciones)

    Pues bien dicho y hecho todo esto, no hay forma de que se me aplique a esta Unidad organizativa, he probado de desvincular y/o deshabilitar las GPO de Default Dom. Cont y la de Def. Dom. Policy. Forzar la GPO para los usuarios de TS, quitar la herencia, etc .... y no hay manera.

    De la unica forma que lo consigo es cambiando estos valores en la Default Domain Policy pero se me aplican a todos los usuarios y esto no me interesa.

    Alguien me puede ayudar o aconsejar ??

    Gracias de antemano.

    miércoles, 16 de diciembre de 2009 10:01

Respuestas

  • dballeste, no puede funcionar de esa forma, porque estás aplicando una GPO a la OU donde están los usuarios, pero estás poniendo configuraciones en la parte de máquina.

    Para que se apliquen las configuraciones de máquina, la GPO debe estar vinculada a la OU donde están las máquinas.

    Si la configuración que buscas estan en la parte de equipo, entonces debes aplicar la GPO donde están los equipos y se aplicará a todos los usuarios.
    Si quieres exceptuar a los administradores va a haber que trabajar un poco más :-)

    Veo dos opciones, aunque de la primera tengo dudas de cómo funciona, pero es fácil de probar, y si no funcionar va a haber que hacer la segunda

    Primera, aunque se lo aplique a todos los usuarios, eso también lo puedes configurar en las propiedades del usuario. O sea que podrías configuarlo individualmente en los administradores, que calculo que son menos que los usuarios. Mi duda es cuál prevalece en el conflicto; supongo que la de usuario pero no lo he probado. Esta es la prueba que puedes hacer tú.

    La segunda, sería configurar los parámetros individualmente en los usuarios, no por GPO; aunque esta opción dependerá de la cantidad de usuarios que tengas.

    Guillermo Delprato - MVP-MCT-MCITP-MCTS-MCSE MCITP: Server Administration MCTS:Active Directory/Network Infrastructure Buenos Aires, Argentina
    miércoles, 16 de diciembre de 2009 11:04
    Moderador

Todas las respuestas

  • dballeste, no puede funcionar de esa forma, porque estás aplicando una GPO a la OU donde están los usuarios, pero estás poniendo configuraciones en la parte de máquina.

    Para que se apliquen las configuraciones de máquina, la GPO debe estar vinculada a la OU donde están las máquinas.

    Si la configuración que buscas estan en la parte de equipo, entonces debes aplicar la GPO donde están los equipos y se aplicará a todos los usuarios.
    Si quieres exceptuar a los administradores va a haber que trabajar un poco más :-)

    Veo dos opciones, aunque de la primera tengo dudas de cómo funciona, pero es fácil de probar, y si no funcionar va a haber que hacer la segunda

    Primera, aunque se lo aplique a todos los usuarios, eso también lo puedes configurar en las propiedades del usuario. O sea que podrías configuarlo individualmente en los administradores, que calculo que son menos que los usuarios. Mi duda es cuál prevalece en el conflicto; supongo que la de usuario pero no lo he probado. Esta es la prueba que puedes hacer tú.

    La segunda, sería configurar los parámetros individualmente en los usuarios, no por GPO; aunque esta opción dependerá de la cantidad de usuarios que tengas.

    Guillermo Delprato - MVP-MCT-MCITP-MCTS-MCSE MCITP: Server Administration MCTS:Active Directory/Network Infrastructure Buenos Aires, Argentina
    miércoles, 16 de diciembre de 2009 11:04
    Moderador
  • Gracias, he usado la primera opción y me ha funcinado.
    viernes, 18 de diciembre de 2009 12:12