none
Filtrado de directiva de usuario sobre una sola pc RRS feed

  • Pregunta

  • Hola Foro,

    hago mi humilde presentación al foro y les hago la siguiente consulta.

    Quisiera aplicar una política de usuario, digamos por ejemplo que quisiera quitar el icono de ie del escritorio, y aplicar esta política para que se aplique solo en algunos usuarios y sobre una única pc.

    Lo que hice fue agregar los usuarios a una OU, generar y linkear una política de usuario llamada desktop para dicha ou y en la parte de security filtering solo dejo la pc a la cual quiero que se aplique.

    Es posible filtrar esta política de usuario  por pc ingresando la pc en security filtering?.

     

    ejecutando gpresult sobre la pc en donde quiero que se aplique me aparece lo siguiente:

     

    CONFIGURACIÓN DE USUARIO
    -------------------------
     
    .........................
        Objetos de directiva de grupo aplicados
        ----------------------------------------
            Default Domain Policy

        Los objetos GPO siguientes no se aplicaron porque fueron filtrados
        -------------------------------------------------------------------
            desktop
                Filtrar:  No aplicado (Razón desconocida)

            Directiva de grupo local
                Filtrar:  No aplicado (vacío)

     

    Agradezco de antemano si alguien me pudiera responder esta duda

     

    miércoles, 9 de junio de 2010 18:25

Respuestas

  • Para hacer que en un equipo se apliquen las políticas de usuario que se quiera, a pesar de estar la GPO vinculada a un contenedor (OU) donde esté la cuenta del equipo y no las de usuarios, se puede hacer usando el procesamiento de bucle inverso de la directiva de grupo de usuario, pero no se puede establecer a qué usuarios se aplicará, se les aplicará a todos. Por otro lado, si la GPO está vinculada en un contenedor donde están las cuentas de usuario, se puede filtrar que sólo sea procesada por los usuarios que interesa, pero se procesará en todos los equipo pues al tratarse de políticas de usuario no afectarán los filtros ACL que pongas de equipo. Se me ocurre una forma, pero no estoy seguro que funcione, puedes hacer la prueba; consiste en hacerlo en vincular la GPO a la OU donde están los usuarios y ponerle un filtro WMI que establezca el nombre del equipo. Si por ejemplo el equipo se llama OFELIA, la consulta WQL del filtro WMI sería:

    SELECT * FROM Win32_ComputerSystem Where Name = "OFELIA";

     


    Un saludo

    Fernando Reyes [MS MVP]
    MCSA 2000/2003
    MCSE 2000/2003
    MCITP EnterpriseAdministrator
    Web: http://freyes.svetlian.com
    Blog: http://urpiano.wordpress.com
    RSS: http://urpiano.wordpress.com/feed/
    freyes.champú@champú.mvps.org
    (Aclárate la cabeza si quieres escribirme)
    • Marcado como respuesta Chocos jueves, 10 de junio de 2010 13:45
    jueves, 10 de junio de 2010 5:34
    Moderador

Todas las respuestas

  • Hola Chocos, te estás metiendo en cosas complicadas :-)

    Las buenas prácticas recomiendan hacer una buena jerarquía de unidades organizativas para que te faciliten el trabajo, y que en lo posible minimicen el uso de Forzar aplicación, bloquear herencia, y menos que menos filtrar con permisos.
    Cada una de estas agrega complejidad.

    Además el planteo que hace es "difícil" :-)
    Porque quieres que una configuración de usuario se aplique sólo en una máquina en particular.
    Las configuraciones de máquina son para que se apliquen a todos los usuarios que inicien sesión en esas máquinas. Y las de usuario para que se apliquen a ese usuario sin importar dónde inicie sesión.

    Pero creo que lo que estás buscando se puede ;-)
    En la parte de Security Filtering debe tener tanto el usuario como la máquina los permisos de Read y Apply Group Policy.
    No alcanza con la máquina solamente, porque es una configuación de usuario.

     


    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    miércoles, 9 de junio de 2010 20:58
    Moderador
  • Para hacer que en un equipo se apliquen las políticas de usuario que se quiera, a pesar de estar la GPO vinculada a un contenedor (OU) donde esté la cuenta del equipo y no las de usuarios, se puede hacer usando el procesamiento de bucle inverso de la directiva de grupo de usuario, pero no se puede establecer a qué usuarios se aplicará, se les aplicará a todos. Por otro lado, si la GPO está vinculada en un contenedor donde están las cuentas de usuario, se puede filtrar que sólo sea procesada por los usuarios que interesa, pero se procesará en todos los equipo pues al tratarse de políticas de usuario no afectarán los filtros ACL que pongas de equipo. Se me ocurre una forma, pero no estoy seguro que funcione, puedes hacer la prueba; consiste en hacerlo en vincular la GPO a la OU donde están los usuarios y ponerle un filtro WMI que establezca el nombre del equipo. Si por ejemplo el equipo se llama OFELIA, la consulta WQL del filtro WMI sería:

    SELECT * FROM Win32_ComputerSystem Where Name = "OFELIA";

     


    Un saludo

    Fernando Reyes [MS MVP]
    MCSA 2000/2003
    MCSE 2000/2003
    MCITP EnterpriseAdministrator
    Web: http://freyes.svetlian.com
    Blog: http://urpiano.wordpress.com
    RSS: http://urpiano.wordpress.com/feed/
    freyes.champú@champú.mvps.org
    (Aclárate la cabeza si quieres escribirme)
    • Marcado como respuesta Chocos jueves, 10 de junio de 2010 13:45
    jueves, 10 de junio de 2010 5:34
    Moderador
  • A parte de lo ya comentado por los otros socios :-), te recomiendo también que mires la opción de las GPO Preferences y uses el targeting level, muy útil para estos casos:

     

    Group Policy Preferences: Understanding and Implementing Item - Level Targeting

    http://www.windowsnetworking.com/articles_tutorials/Group-Policy-Preferences-Understanding-Implementing-Item-Level-Targeting.html

     

    Group Policy Preferences: Getting Started

    http://technet.microsoft.com/en-us/library/cc731892(WS.10).aspx


    -------- Salu2!! Javier Inglés https://mvp.support.microsoft.com/profile=540CC20A-D91F-4E7B-A209-2CB5567431B0 MS MVP, Windows Server-Directory Services. Microsoft Active Professional 2010
    jueves, 10 de junio de 2010 6:13
  •  

    Guillermo, Fernando Javier, Muchas gracias por sus respuestas :-)

    Ahora si me queda claro el uso del filtering no es tan sencillo como pensaba, es como que se aplican a todos los usuarios o a todas la computadoras según sea la política de usuario o pc, efectivamente como dice Fernando para que funcione mi política desktop del ejemplo debo ingresar el usuario en la parte de filtering y la política se termina aplicando para el usuario en todas las pcs.

    Voy a intentar lo que me indicas Fernando con el uso del wmi y les cuento como me fue ;).

    En el caso practico real lo que necesito hacer que a un cierto grupo de usuarios evitar que usen internet explorer ya que por razones de fuerza mayor necesito que entren a un Servidor w2003 por terminal service y solo en el quisiera que no puedan ingresar a ie. Tal vez exista una forma mucho mas sencilla de realizar esto.

    SAludos y gracias nuevamente : -)

     

     

     

    jueves, 10 de junio de 2010 13:08
  • Funciono! :-)

    Tal cual como indica fernando aplicando filtro wmi,

     

    Para resumir:

    Para que se apliquen las politicas de usuario deben estar lo usuarios o las pc segun de que sea la politica, y para filtrar algo especifico como una pc, solo hay que usar el filtro WMI, indicando por ejemplo en este caso que solo aplique en la pc que necesito.

    Saludos y gracias a todos.

     

     

     

     

    jueves, 10 de junio de 2010 13:45
  • Chocos, algún dato más que te va a servir a futuro ;-)

    Para el caso específico que comentas hay una configuración específica dentro de las GPO: "Loopback process mode"
    De las GPO de máquina, aplica las configuraciones de usuario
    Y justamente su utilidad está en Terminal Services

    Revisa además el post que hay arriba de todo en este foro, que seguro te ayudará a comprender el funcionamiento.

    Y por supuesto que la configuración que dió Fernando es totalmente válida, pero la que te nombro es casi "específica" para el problema.

     


    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    jueves, 10 de junio de 2010 19:46
    Moderador
  • Interesante lo que me comentas Guillermo, tendre que probarlo, seguramente aui esta la clave

    Gracias ;)

     

     

    jueves, 10 de junio de 2010 20:38